ANNELORE BUIJS, CEGEKA:
‘AI voegt nog niet in samenhang waarde toe’
EDWIN ENTROP, ING:
‘De bank zit tegenwoordig in je broekzak’
JAN-PAUL VAN STAALDUINEN, UNIVERSITEIT UTRECHT:
Samen voor een soevereine digitale toekomst.
Met netwerkoplossingen van LANCOM Systems.
“Digitale soevereiniteit betekent technologische en geopolitieke onafhankelijkheid in Europa. Bij LANCOM Systems werken we aan het realiseren van deze visie - veilig, transparant en op basis van Europese waarden.”
Jessica Strobl Channel Manager Netherlands
LANCOM Systems - uw partner voor veilige IT-netwerken engineered in Europe.
→ Switches
→ Wi-Fi access points
→ 5G/Wi-Fi routers en SD-WAN gateways
→ Next-generation UTM firewalls
ENGINEERED IN GERMANY
→ Zero-Trust beveiliging voor externe netwerktoegang
→ Cloudgebaseerd beheer en monitoring
Kies nu voor een superieure, veilige en krachtige netwerkinfrastructuur uit Europa.
Ontwikkeld en grotendeels geproduceerd in Duitsland
GDPR-conform cloudbeheer
100% vrij van backdoors
Duitste Federale Bureau voor Informatiebeveiliging (BSI) certificeringen
Als Europese fabrikant zet LANCOM Systems zich in voor het leveren van veilige, soevereine IT-netwerkoplossingen. Engineered in Germany. www.lancom-systems.com A Rohde & Schwarz company
Plannen alleen zijn niet meer genoeg in een onvoorspelbare wereld
Plannen maken is zinloos, maar planning is alles. Dit citaat is - vrij vertaald - van Dwight D. Eisenhower. De opperbevelhebber van de geallieerde troepen in Europa na de invasie van Normandië, benadrukte hiermee het belang van het planningsproces boven het eindresultaat, het plan zelf. Elk plan kan door onvoorziene omstandigheden snel verouderd raken, maar het planningsproces is cruciaal voor het voorbereiden op en omgaan met onverwachte gebeurtenissen.
Laten we dit eens vertalen naar de wereld van cybersecurity. En dan vooral de wereld waarin een organisatie al geaccepteerd heeft dat er een grote kans is om ooit succesvol gehackt te worden. Preventie? Absoluut noodzakelijk. Waterdichte security? Vrijwel onmogelijk. Dan is het volgende adagium: goed voorbereid zijn op een malware-aanval is eveneens een must. Maar er zijn te veel factoren en onvoorziene omstandigheden waarmee je als onderneming rekening moet houden. Geen enkel plan of scenario kan hiermee rekening houden. Bovendien, zodra je een plan op (virtueel) papier hebt, is het al verouderd.
Drievoudige impact
Met de impact van wetgeving, zoals DORA, NIS2 of de AI Act, kun je als organisatie nog wel rekening houden. Koepel- of brancheorganisaties, partijen zoals het DTC, kunnen kleinere ondernemingen helpen met het vertalen van de impact van de regels – zoals een meld- en zorgplicht – naar bedrijfsbeleid. Dat betekent wel meer dan het afvinken van hokjes: het betekent het omarmen van de geest van de wet, zoals het afstemmen van je beleid op de grotere verantwoordelijkheid van bestuurders.
Maar twee andere elementen - de impact van nieuwe technologie zoals AI en die van statelijke actoren - zijn gewoonweg niet in hokjes te plaatsen. Allereerst de ontwikkeling van AI en het gebruik ervan door cybercriminelen: dat gaat te snel en is te onvoorspelbaar. Bovendien, zoals cybersecurity-expert Peter Zinn al opmerkte tijdens de Dutch IT Security Day, begin juli: het grootschalige gebruik van AI-tools door werknemers faciliteert het onbedoeld lekken van belangrijke bedrijfsdata, iets waar criminelen ook graag gebruik van maken.
Dan die statelijke actoren zoals Rusland, China, Noord-Korea en Iran. Wat zijn hun doelen? Desinformatie? Het onderuithalen van kritieke infrastructuur? Het stelen van technologische innovaties of geld ter bekostiging van militaire speeltjes (zoals Noord-Korea doet). Betekent dat een bedreiging voor jouw onderneming, of voor een zwakkere schakel in jouw bedrijfsketen? En dan is er nog de vervagende scheidslijn tussen staten en cybercriminele groepen, die het zelfs voor enterprises en overheden lastig maakt om risico’s en dreigingen in te schatten - laat staan voor de gemiddelde mkb’er.
Plannen of planning?
Heeft het dan geen enkele zin om plannen te maken voor wanneer het onverhoopt toch mis gaat? Zeker wel. Geen rigide beleidsstukken die vervolgens in een la verdwijnen, maar meer dynamische scenario’s, met meer flexibele áls dit, dan dat’-proposities. Een goede voorbereiding is nog altijd het halve werk, zeker wanneer je medewerkers hierin structureel meeneemt.
Bovendien oefen je zo als organisatie voortdurend het planningsproces: zodat management en werknemers bij die cyberaanval die toch door je defensie komt, ook zonder het juiste scenario weet wie wat moet doen, wat jouw rol is en die van je security-partner. Zodat je de schade kunt beperken.
Hoe andere IT- en security-beslissers dit doen, kun je lezen in de interviews die je in deze editie van Dutch IT Leaders vindt. Zodat je daarna net wat geruster op vakantie kunt gaan.
Martijn Kregting
Hoofdredacteur Dutch IT Leaders m.kregting@dutchitleaders.nl
U kunt dagelijks nieuws, achtergronden en analyses vinden op ons platform www.dutchitleaders.nl en ons partnerplatform www.dutchitchannel.nl
Voorwoord 3
Universiteiten 6
IT-samenwerking is een must voor universiteiten
Energie 9
AI brengt onze dienstverlening naar een hoger niveau
Dienstverlening 12
IT moet gaan over de kern van waar organisaties voor staan
3
Brancheorganisatie 14
Minder regeldruk, meer investeringen nodig voor BV Nederland
Cloud 16
Zorg dat in ieder geval de data veilig is
Overheid 18
Markt kan overheid écht helpen bij digitale transformatie
Dienstverlening 21
Technologie helpt de maatschappij verder
Universiteiten 9 Energie 12 Dienstverlening
Pak security strategisch én tactisch aan
Europa is nog niet klaar voor een conflict met Rusland
De bank zit tegenwoordig in je broekzak
Leren om verder te komen
Hoe de overheid verantwoord innoveert met AI en cloud
als Europese kans
Digitale soevereiniteit vraagt om duidelijke visie
Goede security zorgt voor weerbare overheid
COLOFON
DutchITLeaders
Nummer 37, 13e jaargang, juli 2025
Dutch IT Leaders is een uitgave van Dutch IT Media
Kantoorencorrespondentieadres: Nieuwe Parklaan 17, 2597 LA. Den Haag Adreswijzigingen: abonnement@dutchitmedia.nl
Verschijningsfrequentie 4 x per jaar Website: www.dutchitleaders.nl
ManagingDirector Peter Reyneveld p.reyneveld@dutchitmedia.nl
Telefoon: 06-11 884 784
ContentDirector&Founder Witold Kepinski w.kepinski@dutchitchannel.nl
Telefoon 06-410 03 906
CommercialDirector Frans Vertregt f.vertregt@dutchitmedia.nl
telefoon: 06- 109 46 545
HoofdredacteurDutchITLeaders
Martijn Kregting m.kregting@dutchitleaders.nl
Redactie
Jeroen Bordewijk, Wouter Hoe nagel, Marco van der Hoeven, Floris Hulsho Pol, Johan van Leeuwen, Eveline Meijer, Teus Molenaar,Hans Steeman
SocialMedia
X: @witoldkepinski
X: @dutchitleaders
LinkedIn: linkedin.com/in/witoldkepinski
LinkedIn Redactie: nl.linkedin.com/company/dutch-it-channel Facebook: www.facebook.com/dutchitchannel/
Vormgeving
iMediate, Tim van den Berg
Drukwerk Damendrukkers, Werkendam
Deze uitgave is met de grootste zorg samengesteld. Desondanks kunnen er (druk) fouten of onvolledigheden in voorkomen. Hiervoor aanvaardt de uitgever geen enkele aansprakelijkheid. Overname van artikelen na goedkeuring van Dutch IT Channel BV
‘
JAN-PAUL VAN STAALDUINEN, CIO UNIVERSITEIT UTRECHT
IT-samenwerking is een must voor universiteiten’
Negen van de tien keer mooie uitdagingen, de tiende keer een hoofdpijndossier: zo omschrijft Jan-Paul van Staalduinen zijn werk als CIO van de Universiteit Utrecht (UU). Hoewel de samenwerking tussen Nederlandse universiteiten op IT-gebied intensief is, zijn er genoeg van die uitdagingen om van de UU een echt digitale organisatie te maken. Denk aan de zeer uiteenlopende behoeften van onderwijs, onderzoek en bedrijfsvoering. Daar zijn de enorme overheidsbezuinigingen, met impact op onze IT-portefeuille, het afgelopen jaar nog eens bijgekomen.
“IT is inmiddels echt een strategisch onderdeel van de UU geworden. En stilstand betekent in ons geval echt achteruitgang.”
AUTEUR MARTIJN KREGTING
In zijn huidige rol als CIO komen de ervaringen uit veel eerdere functies goed van pas, stelt Jan-Paul van Staalduinen, CIO van de Universiteit Utrecht: IT-consultancy, promotieonderzoek en zo’n 6 jaar in verschillende rollen bij de TU Delft, plus 15 jaar aan nevenactiviteiten in het openbaar bestuur. Het bedienen van grote en diverse groepen bijvoorbeeld, in een omgeving met meerdere stakeholders en zeer uiteenlopende IT-behoeften.
“De Universiteit Utrecht telt ruim 40.000 studenten en 9.000 medewerkers - verdeeld over zeven faculteiten – en acht beleidsdirecties. Mijn directie – ITS – bedient onderwijs, onderzoek én bedrijfsvoering. Daarnaast zijn we verantwoordelijk voor een goede IT-infrastructuur, -netwerk en beveiliging. Kortom, alles van eigen glasvezelkabels in de binnenstad van Utrecht tot en met een applicatielandschap met ruim honderd diensten.”
Enorme
diversiteit
Wat Van Staalduinens werk mede interessant maakt, is de net genoemde enorme diversiteit aan behoeften. Ook binnen onderwijs verschilt bijvoorbeeld sterk wat studenten en docenten nodig hebben, nog los van onderzoek en bedrijfsvoering. “En die diversiteit geldt ook voor de vele sterke opinies over wat er aan IT nodig is, elke dag weer. Dat geeft een uitdaging
die negen van de tien keer ontzettend leuk is en soms ook hoofdpijn geeft.”
De digitalisering is bij alle universiteiten en hogescholen eerst geleidelijk en toen steeds sneller toegenomen. “De strategische functie van IT wordt groter. Ging het 40 jaar geleden om rekencentra en kantoorautomatisering, inmiddels raakt IT vrijwel ieder facet van onderwijs, onderzoek en bedrijfsvoering.”
Zeker tijdens corona is IT nauw vervlochten geraakt met onderwijs, waar dat volgens Van Staalduinen al langer het geval was bij onderzoek en in mindere mate bedrijfsvoering. En omdat de vraag naar IT in theorie oneindig geworden is, is het ook de taak van de IT-afdeling om af te kaderen waar de behoeften zitten en waar toegevoegde waarde te leveren is.
“En juist in tijden van bezuinigingen moeten we nog scherpere keuzes maken, ook als het gaat om de IT-operatie. We brengen nu bijvoorbeeld in kaart waar IT-applicaties en dienstverlening voor onderwijs, onderzoek en bedrijfsvoering kunnen worden stopgezet, samengevoegd of efficiënter ingezet. Dit moet leiden tot kostenverlaging en minder overlap.”
“Mijn voorganger heeft een stabiel IT-landschap neergezet, maar we kunnen ook daarmee niet overal ‘ja’ op zeggen. Daarnaast was en is mijn opdracht om IT op een strategisch niveau te verankeren in de
organisatie. Die verandering, daar zijn we momenteel mee bezig. Zoiets stopt ook nooit echt, het is een soort natuurlijke evolutie van een steeds complexer landschap.”
Bovendien, merkt Van Staalduinen op, staat de ITafdeling voortdurend onder druk om het invoeren van nieuwe technologie of nieuwe producten af te wegen, omdat je anders mogelijk steeds verder gaat achterlopen. “Stilstand is toch echt wel achteruitgang in de IT. Wij bevinden ons gelukkig niet in zo’n situatie, maar we moeten er voortdurend aan werken om te voorkomen dat dit wel gebeurt.”
Meerdere snelheden
Dat werken betekent ook steeds vaker samenwerken tussen IT en ‘business’, om aanbod en vraag goed op elkaar af te stemmen. Daarbij is er sprake van meerdere snelheden. Zo is met name onderzoek echt maatwerk. Zeker een onderzoeker die op AI-gebied actief is, ligt soms ver voor op wat de centrale IT-organisatie aan kennis in huis heeft en aan ondersteuning kan bieden. De vraag of IT ‘even’ 500 Terabyte aan opslagcapaciteit kan regelen, is zeker niet uitzonderlijk.
“Bij bedrijfsvoering zie je een heel ander tempo. Mensen hebben wel allerlei innovatieve applicaties op
‘Studenten zijn vaak digital natives, maar makkelijk omgaan met TikTok is niet hetzelfde als werken met digitale leeromgevingen’
hun smartphone, maar werken met een ERP (enterprise resource planning, red.)-systeem dat 20 jaar geleden uitgerold is. Voor de vernieuwing hiervan loopt nu een aanbesteding. Dan studenten: dat zijn vaak digital natives, maar makkelijk omgaan met TikTok is niet hetzelfde als werken met digitale leeromgevingen. Daar moeten zij vaak nog wel in ondersteund worden. En natuurlijk moeten ook docenten hierin meegenomen worden.”
Noodzaak sectorpartners Uiteenlopende tempo’s en behoeften betekent dat ITS zich vooral richt op de grote middengroep met de grote bedrijfs- en onderwijssystemen. Hiervoor, maar ook voor die soms vergaande behoeften van onderzoek, leunen universiteiten zoals de UU op sectorpartners zoals SURF. “De SURF-coöperatie levert het hoger onderwijs onder meer opslag, rekenkracht, individuele diensten en veiligheidsmaatregelen. SURF doet hele mooie en cruciale dingen. Ik denk dat we daar samen met het VK in Europa koploper zijn.”
Maar ook de onderlinge samenwerking op IT-vlak is groot, meent Van Staalduinen. “CIO’s van universiteiten delen veel kennis, zodat het wiel niet meermaals uitgevonden wordt. Samen kun je grotere stappen zetten. Natuurlijk concurreren we als universiteiten op onderzoekers en studenten en IT-personeel, maar slechts beperkt.”
Feit is dat samenwerking nodig is, benadrukt Van Staalduinen, om voldoende kennis, mens- en innovatiekracht te realiseren. “We kunnen niet meer als elke universiteit apart een rekencentrum in de lucht houden voor de groeiende vraag naar opslag en rekencapaciteit. We hebben binnen de directie ITS met ruim 250 fte een serieuze IT-organisatie. Maar voor de grote zaken, zoals supercomputer voor onderzoek, is schaalvergroting echt nodig. Dat kun je niet meer op individuele basis doen.”
Samenwerking wordt verder belangrijker omdat de financiële en andere middelen steeds verder onder druk komen te staan, mede door de overheids -
Jan-Paul van Staalduinen
bezuinigingen. Dat noopt universiteiten ook om weer meer focus te hebben op efficiency, stelt de CUIO van de UU. “En hoe belangrijker de strategische functie van IT, hoe belangrijker die samenwerking. Denk aan gezamenlijke supercomputers voor onderzoekers van meer universiteiten.”
Security en weerbaarheid
Ook op het gebied van cybersecurity en -weerbaarheid verandert er veel. Van Staalduinen hierover: “Wij passen natuurlijk zaken zoals SOC’s, SIEM’s en dikke firewalls toe. In sectorverband hebben we een normenkader vastgesteld onder auspiciën van SURF en in samenspraak met OCW, om het benodigde volwassenheidsniveau te bepalen voor cybersecurity en -weerbaarheid. We zijn ook in termen van security operations, CISO- en ISO-achtige rollen echt gegroeid. En terwijl awareness en eigen verantwoordelijkheid van IT-gebruikers meer aandacht krijgt, moeten we soms zaken ook gewoon dichtzetten.”
En, zo benadrukt de CIO, hier groeit samenwerking tussen universiteiten eveneens. “Na de hack bij de Universiteit Maastricht is die universiteit op fantastische wijze een voorbeeld geweest door openheid te geven en hun ervaringen te delen. Dit heeft de toon gezet in de sector, waarna andere universiteitenUvA-HvA en recent nog TU Eindhoven - zo ook met die incidenten omgaan. Dat is een hele mooi manier om van elkaar te leren. Een formele afspraak hierover is niet gemaakt; dat was ook niet nodig. En hoe rottig ook, die voorbeelden kunnen we ook gebruiken om intern duidelijk te maken waarom we bepaalde security-stappen zetten. Soms leidt dat tot pittige gesprekken. In de academische wereld is academische vrijheid het hoogste goed, men wil geen bemoeienis van IT met de inrichting van een onderzoeksomge -
ving. Maar je ziet hier door de goede voorbeelden en door de veranderende geopolitieke situatie wel een verschuiving.”
AI: bedreiging én kans
Technologie zoals (gen) AI kan zowel een kans als een bedreiging vormen voor een universiteit: een delicate balans, merkt Van Staalduinen op. “Net als Internet is AI niet één ding. Dat maakt het gesprek erover soms complex. ‘Wat doen we met AI in het onderwijs’ is dan ook een thema waar we soms wel en soms geen rol in hebben. En we hebben compliance-verantwoordelijkheden als het gaat om data en AI: de AVG, de AI Act en de DSA. Dat zorgt voor een reflex om steeds meer zaken dicht te zetten in de strijd tegen spreekwoordelijke Trojaanse paarden, terwijl ik tegelijkertijd wil voorkomen dat we het ‘nee’- departement worden.”
Dan de kansen van AI: die zijn er volop. In IT helpt AI om code te ontwikkelen. In het onderwijs om tentamens te maken. In de bedrijfsvoering in het verbeteren van de efficiency door bijvoorbeeld snellere data-analyse. En in onderzoek gaat AI een absolute revolutie veroorzaken, gelooft Van Staalduinen. “Op diagnostisch gebied bij UMC’s bijvoorbeeld. Of in de geesteswetenschappen, waar AI kan helpen om middeleeuwse manuscripten vele malen sneller te lezen dan een onderzoeker ooit kan.”
‘Na de hack bij hen, is de Universiteit Maastricht op fantastische wijze een voorbeeld geweest’
Tevreden man
Wanneer is Van Staalduinen een tevreden man? Over dit antwoord hoeft hij niet lang na te denken. “Bij binnenkomst was mijn opdracht: zet digitalisering als strategisch thema op de kaart. Vorig jaar is onze digitaliseringsstrategie door het bestuur goedgekeurd en digitalisering is een belangrijk onderdeel van de overkoepelende UU-strategie. Daar ben ik blij mee. Een andere wens is een meer wendbare, meer efficiënte IT-organisatie realiseren die resultaten kan blijven leveren in een wereld met minder middelen voor onderwijs. En als derde wil ik een meer weerbare UU neerzetten in termen van security en nukken van een of enkele leveranciers of landen. Als dat gelukt is, ben ik tevreden.”
JETSKE ZUIDEMA, VATTENFALL:
‘AI brengt onze dienstverlening naar een hoger niveau’
Met ruim 20 jaar IT-ervaring bij energieleverancier Vattenfall Nederland en voorganger Nuon heeft Jetske Zuidema al veel veranderingen op het gebied van IT en later digitalisering meegemaakt. Inmiddels heeft zij als director customer IT zowel een Nederlandse als internationale functie bij het Zweedse Vattenfall. Maar, zo stelt zij, ondanks alle digitalisering intern en naar klanten toe, blijft persoonlijk contact cruciaal. “En met nieuwe technologie zoals AI kun je ook digitaal contact veel persoonlijker maken.”
AUTEUR MARTIJN KREGTING
Vooral de afgelopen jaren is de digitalisering snel gegaan bij Vattenfall, vertelt Zuidema. Dat geldt voor slimme meters en klant apps, datasystemen en call center-systemen, daarnaast zijn we nu bezig met het inzetten van AI voor meer gepersonaliseerde diensten. Daarbij wordt er gebruik gemaakt van de lessons learned in de diverse landen waar de energieleverancier actief is. Naast Nederland zijn dat Zweden, Duitsland, het Verenigd Koninkrijk, Frankrijk, Denemarken en Finland.
Omdat Zuidema internationaal actief is voor alle klantgerichte IT (particulier én zakelijk), weet zij als geen ander wat er op dit vlak al gebeurd is en in de pijplijn zit. Maar hoe digitaal alles ook geworden is, dat betekent allerminst dat persoonlijk contact zo veel mogelijk uitgefaseerd wordt.
Persoonlijk contact blijft
Voor klanten moet die mogelijkheid van menselijk contact blijven. Hoewel steeds meer klanten alles digitaal willen regelen, blijft er een groep die bijvoorbeeld gewoon een medewerker wil kunnen bellen met een vraag of een klacht. “Er moet voor allebei ruimte zijn”, benadrukt Zuidema, “maar we proberen waar mogelijk wel zoveel mogelijk te automatiseren. En met nieuwe technologie zoals AI kun je digitaal contact ook veel persoonlijker maken.”
Een voorbeeld hiervan is de groeiende inzet van bots
in contacten: via whatsapp, de website en app en in de toekomst ook via de callcenters van Vattenfall. Bij de energieleverancier gaat het bijvoorbeeld om Nina. Deze bot heeft de afgelopen jaren steeds meer contact succesvol kunnen afhandelen. Met een nieuwe generatie conversational AI bot, hoopt Zuidema dit te kunnen verdubbelen.
Zuidema: “Dat is harde noodzaak. We willen medewerkers niet vervangen, maar zorgen dat onze klantenservice meer tijd heeft om onze klanten
‘Voor
de IT-kant is zorgen voor voldoende digitaal talent echt een
grote uitdaging’
energieadvies te geven. Het is heel moeilijk om goed talent te werven en behouden. Als ik spreek voor de ITkant, dan is zorgen voor voldoende digitaal talent echt een grote uitdaging. Je moet hen een goede werkomgeving bieden, uitdagen in hun groei, en zorgen dat ze verschil kunnen maken. In een groot bedrijf kan dat lastig zijn en bots je soms tegen muren op. We stoppen dus veel energie in het realiseren hiervan.”
Gecombineerde teams
Uit deze visie komen ook de gecombineerde teams
voort die uit zowel business- als IT-mensen bestaan. Dergelijke teams kunnen bepaalde segmenten van de dienstverlening van Vattenfall vanuit een breed perspectief oppakken. “Denk bijvoorbeeld aan facturering en termijnbedragen. Er zit een gecombineerd team op dat zich van begin tot eind richt op de digitalisering hiervan.”
Die samenwerking tussen business en IT is in Nederland zeer nauw, weet Zuidema. IT maakt hier deel uit van de overkoepelende strategie van de organisatie. “Natuurlijk hou je altijd discussies, maar liever dát dan blijven discussiëren over hoe je business en IT samenbrengt. Ze werken echt hand in hand en zorgen er zo voor dat IT ook iets is waarvoor elk
‘Ik wil niet zeggen dat we nooit gehackt kunnen worden, maar ik denk dat we zo goed mogelijk voorbereid zijn’
onderdeel van de organisatie zich medeverantwoordelijk voelt. Je moet zulke teams dan wel organiseren op basis van gelijkwaardigheid. IT moet niet alleen roepen wat niet kan, en de business moet niet alleen opdrachten geven die IT moet uitvoeren.”
Samen voortbrengen
Zuidema stelt trots te zijn op wat de teams samen voortbrengen, waarbij ze onder meer de Vattenfall
Energie-app noemt – een app die klanten meer grip op hun energieverbruik moet geven. Het is op dit moment de hoogst scorende app in de energiemarkt, met een gemiddelde klantwaardering van 4,7.
“Door de web-, Android- en iOS-fundamenten van deze app platformonafhankelijk te maken, kunnen de teams nu in een keer en dus makkelijker en sneller nieuwe functionaliteiten voor hun specifieke feature live brengen. Klantenfeedback uit de app wordt teruggekoppeld aan de teams: dit is waardevolle informatie voor de teams om hun features verder te verbeteren. We standaardiseren nu ook de koppeling
naar de backend verder. Als je standaardisatie goed inzet, dan geef je teams meer vrijheid en kunnen ze veel meer dan voorheen.”
AI centraal
Zuidema schetste al dat IT in Nederland onder strategie valt. En net zoals bij bijna elke organisatie staat de inzet van AI momenteel centraal in de strategie van Vattenfall: zowel de kansen als uitdagingen. Zo traint de organisatie op diverse gebieden AI-modellen, waarvoor het gebruik maakt van eigen data in een eigen datacentrum, om zo grip te houden op welke data ingezet wordt.
“Wij kijken hierbij echt naar waar het waarde toevoegt, wij zetten AI niet in als ‘silver bullet’. Om de ontwikkeling en gebruik van AI-technologieën binnen Vattenfall in goede banen te leiden, hebben wij binnen IT een AI Council opgezet. Deze zorgt voor standaardisatie, hergebruik en kennisdeling. Daarnaast borgen we hier ook de nodige ethische standaarden en security.”
“Ook leiden we al onze medewerkers op in het gebruik van AI-toepassingen”, vertelt Zuidema. “Je wil niet dat iemand in een prompt allemaal klantdata van Vattenfall gooit. We hebben een eigen, afgesloten GenAI solution die onze medewerkers kunnen gebruiken met aandacht voor de juiste dataclassificering. We hebben dat zodanig ingericht dat data niet zomaar via een AI-toepassing op straat kan komen.”
Uiteindelijk, meent Zuidema, staat of valt het succesvol inzetten van AI-toepassingen met goede classificering van data, geen datavervuiling en goed geïntegreerde systemen. “Dat heb je allemaal nodig om AI tot een succes te maken. En al zijn er veel gevaren, ik ben ook wel gebiologeerd door alle snelle ontwikkelingen. Toen ik in IT begon, hadden we als ontwikkelaar volledige grip op wat we deden. In die mainframe-omgeving wist je als programmeur precies wat er gebeurde en waar een probleem zat. In de loop der jaren is dat steeds abstracter geworden. Nu staan we aan de vooravond van een volgende stap, waarin AI zelf code kan generen met een snelheid en
documentatie die de wereld van softwareontwikkeling weer naar een hoger abstractieniveau brengen. We moeten ons zeker bewust zijn van de gevaren, maar tegelijkertijd de enorme kansen zien.”
Kritieke infrastructuur
Los van het beperken van de gevaren van AI, doet Vattenfall veel op het gebied van security. De energiesector is namelijk een kritieke infrastructuur en een gewild cyberobject, zo zijn DDOS-aanvallen eerder regel dan uitzondering.
“Daar spelen we ook op in door onze aanpak te veranderen, niet alleen de gebruikte technologie. Waar we vroeger spraken over devops, spreken we nu over devsec-ops, waarbij je continu test of je systemen en infrastructuur veilig zijn. Een keer per jaar pentesten is al lang niet meer voldoende. Er is ook veel meer
aandacht voor wie waartoe toegang heeft en hoe je dat segregeert. En natuurlijk kijk je naar het hele spectrum, van preventie tot business continuity: wat doe je als het toch een keer fout gaat en data komt op straat of een ransomware-aanval slaagt?”
Zuidema benadrukt dat security niet meer iets is voor een speciaal team: elke IT’er heeft ermee te maken. Naast verplichte opleidingen wordt er ook elk jaar een HackIT event gehouden waarbij ontwikkelaars van Vattenfall uitgedaagd worden om systemen uit de lucht te krijgen. Gerenommeerde security experts werken hieraan mee en geven uitleg over de laatste technologische ontwikkelingen in cybercrime. “Ik wil niet zeggen dat we nooit gehackt kunnen worden, maar ik denk dat we zo goed mogelijk voorbereid zijn en bewust zijn van wat we moeten doen als het mis gaat.”
Jetske Zuidema
ANNELORE BUIJS, EVP EUROPA CEGEKA:
‘ IT moet gaan over de kern van waar organisaties voor staan’
In de afgelopen 30 jaar heeft Annelore Buijs, EVP Europa bij IT-leverancier en familiebedrijf Cegeka, de hele IT-evolutie van kantoorautomatisering naar digitale transformatie meegemaakt. Hoewel zij geen technologische achtergrond heeft, was Buijs altijd actief voor technologiegedreven organisaties of in technologiegedreven functies. En in al die tijd is de evolutie nog nooit zo snel gegaan als de afgelopen jaren. De impact op organisaties, hun management en hun medewerkers, groeit navenant. “Mijn uitgangspunt is en blijft: is een organisatie op IT-gebied bezig met de kern van wat nodig is?”
AUTEUR MARTIJN KREGTING
Van kantoorautomatisering naar digitale transformatie; van evolutie naar revolutie. De versnelde ontwikkeling van technologie heeft een groeiende impact: op mensen, op bedrijven, op de samenleving. Zo is de adoptiesnelheid van generatieve AI door organisaties en mensen niet te vergelijken met die van internet of de smartphone. ChatGPT bereikte 100 miljoen gebruikers na twee maanden, tegen 7 jaar voor internet (vanaf 1997) en 4 tot 5 jaar voor smartphones (vanaf 2007, introductie eerste iPhone).
“Welk woord je er ook aan hangt, of het nou digitale transformatie is of een AI-revolutie, ik geloof dat elke organisatie mee moet in deze versnelling”, stelt Buijs. “Alleen: voor mij is digitale transformatie niet alleen iets technologisch. Technologie is een middel om processen te verbeteren, te automatiseren, te versimpelen en te vereenvoudigen. Dat kan alleen als mensen blijven begrijpen waar ze mee bezig zijn. Ik zie een samenhang tussen: snapt de mens nog waar hij mee bezig is, zijn we echt bezig met de kern van wat er nodig is voor ons bedrijf, en kun je dat dan op de een of andere wijze automatiseren.”
Wet van Martec Soms lijkt het erop dat de ontwikkeling van technologie en de capaciteit van organisaties om bij te benen steeds verder uit elkaar gaan lopen. Buijs noemt dit de kern van de ‘Wet van Martec’: technologie ontwikkelt op exponentiele wijze, organisaties in een logaritmische snelheid. Ofwel: terwijl technologie en individuele adoptie van technologie razendsnel evolueren, passen organisaties zich in een rustiger, meer afgemeten tempo aan.
“Hoe kun je dat blijven matchen? Dat geldt voor medewerkers, maar ook voor leiders: kunnen ze nog bepalen of een nieuwe technologische ontwikkeling echt iets doet voor de kern van waar hun organisatie mee bezig is? Je wil je toegevoegde waarde verbeteren, je concurrentievermogen, je dienstverlening aan burgers. Als je daar als leiders uitkomt, dan ga je aan de slag en noem je dat digitale transformatie. Maar dan moeten je medewerkers in staat zijn dat theoretische plan tot praktische wasdom te laten komen.” Daarnaast moet je kijken naar de maatschappelijke impact, vindt Buijs. “Tegenwoordig kun je vrijwel alles bij overheidsinstanties via een digitaal
loket regelen, maar steeds minder bij een fysiek loket. Niet iedereen kan daar mee omgaan. Kortom: je hebt op allerlei fronten adoptievragen waar je antwoorden op moet formuleren.”
Business-blik
Buijs kijkt met een business-blik of de beschikbare technologie nog wel begrijpelijk en toepasbaar is. “De ITwereld heeft technologie best complex gemaakt. De snelheid ligt hoog, er is gebrek aan standaardenen de branche heeft een eigen taal en gemeenschap. Business en IT verstaan elkaar vaak niet. Dat is wel verbeterd door het aanstellen van meer business-gerichte CIO’s en CTO’s, die tot op bestuursniveau het onderwerp technologie op de agenda zetten. Maar uiteindelijk moet de business ook een antwoord aan IT kunnen geven: dit is de kern van de vraag – bijvoorbeeld een betere responsetijd voor klanten, een betere user interface. Het moet meer push worden vanuit die business.”
Aan de andere kant zie je dat nieuwe technologie, zeker AI, zaken soms ook heel simpel kan maken. Buijs gebruikt AI naar eigen zeggen inmiddels veelvuldig en divers. “Maar we zijn als orga -
nisaties, als BV Nederland, nog niet op het punt waarop AI echt in samenhang waarde toevoegt voor de kern van je organisatie, je bedrijfsprocessen.
Tegelijkertijd kan een agentic AI of een gen AI-toepassing zoals ChatGPT je helpen om daar beweging in te krijgen. En deze ontwikkeling maakt IT ook democratischer, omdat niet-techneuten zoals ik mee kunnen komen in het gesprek over toepasbaarheid.”
AI en security tegenhangers
Alsof er niet genoeg uitdagingen zijn bij de inzet van technologie, worden AI en security allebei steeds belangrijker, maar lijken tegelijkertijd volgens Buijs tegenhangers van elkaar. Zo is voor AI-gebruik veel data nodig, maar wordt de toegang daartoe beperkt door de noodzaak van goede security.
“Je wilt er bijvoorbeeld zeker van zijn dat niemand bij jouw data kan komen. Dat is echt een boardroomthema geworden. Reputatieschade kan enorm zijn na een hack, zeker als je klantdata kwijtraakt. Het voordeel van deze ontwikkelingen is dat je niet meer hoeft te debatteren over het belang hiervan. Daar is consensus over. Het is en blijft belangrijk omdat men beseft
dat security geen one time fix is, dat cybercriminelen ook steeds sneller met nieuwe aanpakken komen.”
AI is juist spannend, stelt Buijs: de ‘sexy part of business’. Alleen: wat is AI nu echt? Iedereen is dat nu voor zichzelf aan het bepalen: ‘het is er, iedereen doet er wat mee, ik moet dat ook doen’. “Ik denk dat de technologie heel veel kan, maar ook hier geldt: wat kun je er mee doen om de kern van je organisatie mee te verbeteren? Ketenverkorting in je processen, beter concurrentievermogen? Ook hier geldt: technologie is niet de oplossing, maar het middel.”
Bovendien werkt AI pas optimaal als je een goed datafundament hebt, vervolgt Buijs. Als je niet weet waar welke data staat, hoe je erbij kunt komen, wat de kwaliteit is, dan ga je met een wankel fundament aan de slag. “Dat fundament is niet sexy, maar het moet er wel staan. Als je eenmaal die basis hebt staan, kun je elk bedrijfsproces optimaliseren. Ik ben geen engineer, maar ik weet als business-mens heel goed wat ik wil verbeteren. Als je vanuit die optiek AI wil inzetten, kun je dat nu veel eenvoudiger doen. Dan kun je echt quick wins realiseren.”
Duurzaamheid
Een ander aspect van AI is het grote en groeiende beslag op energie door AI-toepassingen. Duurzaamheid en IT hebben altijd een bepaald spanningsveld, maar de exponentieel groeiende AI-inzet zou dit op een heel nieuw niveau kunnen brengen.
“Als Cegeka proberen we hierin al langer stappen te zetten, bijvoorbeeld door de meest duurzame koeling in onze eigen datacentra te gebruiken of te kiezen voor onze eigen windenergievoorziening. Maar de vraag naar energie voor IT, zeker met de opkomst van AI, groeit sterk. Dat noopt ons om goed na te denken over waar we AI echt voor willen inzetten. We moeten van nice to have naar need to have. Omdat het allemaal kan, betekent niet dat het allemaal moet.”
Reden voor Buijs om erop te hameren dat iedereen, van organisatie tot en met individu, moet kijken naar wat echt relevante toepasbaarheid voor een organisatie of een individu is. Door hier goed over na te denken, leer je ook wat er allemaal nodig is om AItoepassingen in de lucht te houden.
“Wij, als mens, moeten bepalen waar het stopt. En ik geloof dat de IT-sector hier ook echt voor open staat, voor dialoog over de footprint die we achterlaten als gevolg van energievraag: impact van social media. Maar dat is wel iets dat alle stakeholders samen moeten bespreken, niet alleen wij als sector. Voor de grote thema’s zou ik een goede dialoog echt bepleiten. Het gaat er uiteindelijk om dat wij als mensen de richting waarin die technologie wordt toegepast, durven te bepalen. En ik geloof wat dat betreft ook heel erg in de kracht van de mens op dat punt. Tenslotte hebben wij ook AI uitgevonden.”
Annelore Buijs
DAGMAR LENS, DIRECTEUR NLDIGITAL
‘ Minder regeldruk, meer investeringen nodig voor BV Nederland’
Met de steeds snellere veranderingen op technologisch en digitaal gebied en de net zo snelle geopolitieke ontwikkelingen, wordt het steeds belangrijker voor de Nederlandse IT-sector om een duidelijke positie te bepalen. Als het gaat om de inzet van en ethische vraagstukken rondom AI, maar ook de noodzaak van meer digitale autonomie. Een brancheorganisatie als NLdigital, dat zo’n 600 IT-organisaties van mkb tot enterprise vertegenwoordigd, moet natuurlijk meegaan met al deze veranderingen. En dat doet de organisatie zeker, sinds 1 maart 2025 onder leiding van directeur Dagmar Lens. Als IT-veteraan met een track record bij onder meer Microsoft en IBM, is zij goed in staat om samen met haar team en de achterban van NLdigital de juiste balans te vinden tussen belangenbehartiging en maatschappelijke verantwoordelijkheid in een onzekere wereld.
NLdigital bestaat al ruim 100 jaar en heeft zichzelf in die periode meermaals heruitgevonden. Maar hoe snel de veranderingen in technologie en geopolitiek nu ook gaan, heruitvinden is momenteel niet aan de orde. Herijken van prioriteiten en richting wel, maar dat is volgens Dagmar Lens een voortdurend proces voor de inmiddels circa 25 medewerkers van het dagelijkse bureau.
“Ook bij NLdigital is het bouwen aan een ecosysteem en het realiseren van maatschappelijke impact belangrijk. We leggen voor en namens onze achterban verbinding met ministeries, toezichthouders en uitvoeringsorganisaties en proberen met verschillende publieke en private stakeholders om zowel de samenleving als de BV Nederland vooruit te helpen vanuit technologieperspectief.”
Geen doorgeefluik
Lens benadrukt dat NLdigital niet een doorgeefluik is voor de wensen van de
leden, maar met de leden samenwerkt, leden helpt met duiding van ontwikkelingen en vaak kleinere organisaties die lid zijn ook in praktische zin ondersteunt, bijvoorbeeld als het gaat om HR- en juridische zaken. Daarnaast maakt de vereniging kenbaar richting bijvoorbeeld politiek Den Haag wat de (soms negatieve) impact kan zijn van Nederlandse en (steeds vaker) Europese wetten en regels.
“Als de achterban goed functioneert, heeft de BV Nederland hier profijt bij. Om de concurrentiepositie van Nederland te verbeteren, heb je een hogere productiviteit nodig waar digitale technologie de sleutel voor is, maar ook een stuk innovatie en weerbaarheid. Vele mogelijkheden daarvoor liggen in het digitale domein. Om duidelijk te maken wat de IT-sector nodig heeft om deze mogelijkheden tot wasdom te brengen – bijvoorbeeld op het gebied van weten regelgeving – is het belangrijk om dit te kunnen vertalen naar stakeholders zoals de overheid. Soms staan bepaalde
zaken in wetten en regels de mogelijkheden van digitalisering echt in de weg, beperkt het mogelijkheden voor innovatie of is er een dusdanige investering nodig dat we hiervoor mede naar de overheid kijken. Dan heb je daar het gesprek over. Maar hetzelfde geldt voor het helpen van organisaties met het vertalen van de impact van NIS2 naar hun beleid en IT. Veel organisaties kijken hiervoor echt naar de IT-sector.”
Kortom: niet alleen een vertaalslag vanuit de achterban, maar ook andersom: uit onder andere de samenleving en bij overheden ophalen wat er speelt, om dit terug te vertalen naar de achterban. Lens hierover: “Daarbij gaan we ook de discussie aan met relevante partijen, zoals op het gebied van privacy de AP, om te bepalen waarom zij bepaalde zaken op een bepaalde manier aanvliegen. Zo leg je meteen de verbinding met dergelijke partijen. Dus we doen het echt met de leden, met organisaties zoals VNO NCW, met Digital Europa.”
AUTEUR MARTIJN KREGTING
Breed actief
NLdigital is actief op een behoorlijk aantal thema’s, van personeel en cybersecurity tot wetgeving en nieuwe technologie zoals AI. Zoals in veel verenigingen doe je dit samen met de leden, vertelt Lens. “Vanuit het bestuur munt je belangrijke thema’s, waaronder ook cyberscurity, waar deze groepen actief in zijn. Verder hebben we marktsegmenten zoals zorg en overheid. Wij als NLdigital orchestreren met de diverse groepen van leden de invulling van dit thema. We proberen het beleid van Den Haag en de EU naar hen te vertalen, een mening hierover te vormen, het standpunt vanuit de IT-sector. Inclusief praktische zaken zoals onder andere explainers, checklists en stappenplannen.”
NLdigital merkt dat de snelle geopolitieke ontwikkelingen en de opkomst van technologieën zoals generatieve AI en agentic AI leiden tot een groeiende behoefte aan duiding en context. Dit speelt zowel bij sommige leden als bij organisaties in het bedrijfsleven en de maatschappij. Soms betekent dit ook het bieden van educatie over deze thema’s. Lens: “Daar zijn we recent mee gestart. Zo hebben we inmiddels
educatieve stukken geschreven over digitale autonomie. We schrijven over onderwerpen die ons en onze leden echt bezighouden.”
Drie uitdagingen
Vooruitkijkend, ziet Lens op drie vlakken belangrijke uitdagingen voor de digitale sector die echt goed opgepakt dienen te worden: regeldruk, arbeidsmarkttekorten en investeringen. Zo zit de huidige regeldruk innovatie enorm in de weg, merkt de digitale sector. Hetzelfde geldt voor het vergroten van productiviteit en weerbaarheid via digitale innovatie.
“We zijn absoluut niet tegen regels, maar het moet goed uit te voeren zijn en behapbaar zijn voor organisaties zoals in de IT-sector. De dialogen hierover richting Den Haag en Europa zijn ook goed. We maken voortgang, maar we blijven hier voorlopig wel de focus op houden. Zeker gezien de stapeling van wetgeving die er nog aankomt, zoals de NIS2 en CRA.”
Verder is er een arbeidsmarkttekort over de hele linie. Er is meer vraag naar ICT’ers, maar het aanbod groeit niet. Er zijn zelfs steeds minder mensen die
kiezen voor een ICT-opleiding. “Dat baart mij echt zorgen, zeker als we naar meer digitale autonomie willen. Je hebt mensen nodig om kennis en kunde op te bouwen.”
Investeren daarin is belangrijk: het derde punt. De overheid investeert volgens NLdigital niet genoeg in technologie, zeker als je dat met het bedrijfsleven vergelijkt. “Het is belangrijk om die investeringen te vergroten, zodat we de hele Nederlandse economie kunnen helpen. Daarom ging het me ook zo aan het hart dat het Groeifonds wordt uitgefaseerd. Met het geld in dit fonds is er veel geïnvesteerd in innovaties en dat heb je nodig voor een goede kenniseconomie.”
Minder regels, meer investeringen
Tot slot hamert Lens nogmaals op de noodzaak om meer en blijvend te werken aan Nederland als digitaal en technologisch kennisland: met minder regeldruk en meer investeringen. “Wij denken dat het minder complex moet en kan met regulering, beter behapbaar moet zijn. Los hiervan is het investeringsniveau in Nederland echt een issue, op meerdere lagen. Dat zie je al bij de investeringen in onderwijs en onderzoek, zoals mbo’s, hbo’s en universiteiten. Vooral de overheid blijft hierin achter. In de Nationale Technologiestrategie staat ook dat Nederland goed is in zaken uitvinden, maar minder in hiervan profiteren. En inderdaad zijn de investeringen om op te schalen en te laten groeien te beperkt.”
Toch blijft Lens graag met het glas halfvol naar alle ontwikkelingen kijken. Technologie en digitalisering hebben nog nooit zo hoog op de agenda gestaan: in de boardroom en bij de overheid. Het wordt echt gezien als iets dat impact op iedereen heeft en niet alleen meer iets van IT’ers. “We zijn misschien nog wel in de fase van bewust onbekwaam, maar we zijn ons er in ieder geval bewust van dat het beter kan en kunnen op basis daarvan de juiste keuzes maken. Vanuit NLdigital helpen we graag om de juiste keuzes te maken richting bewuste bekwaamheid.”
Dagmar Lens
JEROEN WOUDA, UNISERVER
‘ Zorg dat in ieder geval de data veilig is’
De IT-uitdagingen waar de overheid voor staat zijn complex, en voortdurend in beweging. Vooral op het gebied van cloud en data is het speelveld in korte tijd flink veranderd. Waar ooit de grote hyperscalers populair waren als cloudaanbieder, heeft de huidige geopolitieke situatie daar verandering in gebracht ten gunste van succesvolle lokale spelers als Uniserver.
Nu blijkt dat hyperscalers niet altijd werken zoals gedacht voor de overheid, komen ze steeds vaker bij ons terecht, als grote Nederlandse aanbieder”, zegt Jeroen Wouda, Technical Cloud Specialist bij Uniserver. “In die gesprekken leggen we uit wat wij voor de overheid kunnen betekenen. Je ziet dat ze zich aanvankelijk veel zorgen maken over de gedachte dat een lokale partij per definitie duurder is, maar dat blijkt in de praktijk eigenlijk helemaal geen probleem te zijn. Wij zijn niet duurder dan de hyperscalers, we hebben alleen een ander model.”
De vraag die hij concreet krijgt is vaak in eerste instantie het één op één overzetten van de systemen, volgens de bestaande standaarden en gebruiken. Bij voorkeur in hun eigen datacenters, terwijl dat vaak helemaal niet nodig is en het nodeloos duur maakt. “Een uitdaging voor de overheid is dat ze zelf vaak niet gestandaardiseerd hebben. De systemen zijn
‘Zorg dat de securitycomponent wordt ingericht of beheerd door een partij die politiek gezien op één lijn zit met jou’
vaak per project tot stand gekomen, op basis van een bepaald budget, zonder er rekening mee te houden dat het na vijf of zeven jaar vervangen moet worden.”
Strategische blik
Hij pleit er dan ook voor om met een meer strategische blik naar overheidstechnologie te kijken. “Wij hebben alles gestandaardiseerd, waardoor we onze dienstverlening automatisch kunnen beheren over de hele lifecycle. Omdat we vanuit die standaarden werken, kunnen we makkelijker automatiseren en is
het eenvoudiger om een hoge kwaliteitsstandaard te behalen.”
Dit vraagt van de overheid om wat breder te kijken naar technologie. “Wat we veel zien in aanbestedingen is dat het gaat om losse kavels voor bijvoorbeeld hardware, een platform, of beheer. Maar als MSP leveren wij een dienst. Wij – en veel van onze collega-organisaties– gaan geen omgeving beheren die we niet zelf hebben gebouwd. Daar is onze software niet op ingericht. En we staan ook niet altijd achter de keuzes die daarin gemaakt zijn. Het hoeven geen verkeerde keuzes te zijn, maar het zijn wel andere keuzes dan wij zouden maken. Wij willen dus graag een compleet pakket aanbieden.”
Legacy
De moderne IT-landschappen die bij hyperscalers staan zijn daar in veel gevallen wel voor ingericht. Maar de grote uitdaging bij de overheid is de grote hoeveelheid legacy-systemen die in diverse eigen datacenters draaien. Het moderniseren van die bestaande systemen is voor overheids-CIO’s een flinke uitdaging, zeker gezien de schaarste van geschoold IT-personeel en het gebrek aan standaarden.”
Daar kan ook het bestaande partnermodel van Uniserver bij helpen. “Wij zijn een MSP voor MSP’s en ISP’s. We leveren dus maar zeer beperkt aan eindklanten. Wij hebben een indirect model en ons portfolio is daar ook op ingericht. Dat sluit aan bij de manier waarop de overheid is georganiseerd. Daar zijn aparte afdelingen verantwoordelijk voor IT. Zo’n afdeling zou prima klant bij ons kunnen zijn, net als een MSP, om de onderlaag van het platform dat ze zelf beheren bij ons in te kopen. Dan zijn ze verlost van veel zaken die nu als een molensteen om hun nek hangen.”
AUTEUR MARCO VAN DER HOEVEN
Soevereine cloud
Uniserver maakt al enige tijd serieus werk van de momenteel veelbesproken soevereine cloud. “Wij zijn daar zo’n drie jaar geleden mee begonnen, toen bekend werd dat er naast de NIS2-regelgeving ook EU-wetgeving aankwam. In die regelgeving – die nog steeds niet definitief is – zit een geopolitieke component: data met een bepaalde kwalificatie mag niet buiten Europa terechtkomen. En ‘buiten Europa’ betekent ook geen data in Amerikaanse handen, ook niet als het datacenter van de hyperscaler fysiek in Europa staat.”
“Uniserver is volledig in Nederlands eigendom. We zijn ons daarin dus gaan verdiepen, en zijn gaan investeren om onze organisatie geschikt te maken voor de hoogste classificatie onder de verwachte EU-wetgeving. Dat gaat onder andere over cryptografie van verbindingen, maar er zijn ook andere aspecten. Die wetgeving is dus nog niet definitief, maar wij hebben hem goed doorgenomen en er bewust op voorgesorteerd.”
Controle
Los van die wetgeving is het verstandig om je als Europa af te vragen of het verstandig is dat persoonsgegevens of intellectueel eigendom ergens staan waar een buitenlandse mogendheid daar controle over kan uitoefenen als onderhandelingsmiddel. “Ik denk dat we dat niet moeten willen, zeker als overheid. Natuurlijk zijn er nog steeds uitdagingen, maar je kunt in elk geval beginnen met wat wél mogelijk is.”
“Want er zijn alternatieven. Een partij als Uniserver kan voor vrijwel elke on-demand dienst die je nu bij een hyperscaler afneemt zo’n alternatief bieden. Soms gebaseerd op open source, soms op closed source. Alleen zijn die dan meestal niet met één klik beschikbaar via een API of met je creditcard. Je moet daar dan gewoon een gesprek over voeren. Met wat communicatie kunnen wij dat prima neerzetten, en vaak nog goedkoper ook.”
Security
Maar zelfs waar voor bepaalde data nog geen alternatief is door de complexiteit van de huidige oplossing, is het in ieder geval zaak de security goed in te richten. “Zorg dat de securitycomponent wordt ingericht of beheerd door een partij die politiek gezien op één lijn zit met jou. Probeer in elk geval op korte termijn lokaal je security of disaster recovery-diensten te regelen, zodat je je data veiligstelt.”
Waar het volgens hem om gaat is het inschatten van de impact. “Dat heeft alles te maken met compliance. Ook als uit de risico--analyse blijkt dat de kans op problemen klein is, kan de impact, als er iets gebeurt, groot zijn. Het is belangrijk daar goed over na te denken, want dan is het makkelijker om budget vrij te maken om er zeker van te zijn dat in geval van nood data naar een andere Europese partij kan gaan. Als je daar nu niets voor regelt heb je niets, en ben je het echt kwijt.”
JOHAN KORPERSHOEK, AXIANS
Markt kan overheid écht helpen bij digitale transformatie
De overheid staat voor een breed scala aan uitdagingen, onder meer in de zorg, vervoer en infrastructuur, huisvesting, defensie en politie. Technologie maakt in toenemende mate onderdeel uit van de oplossingen. De razendsnelle ontwikkelingen in die technologie maken de rol van marktpartijen steeds belangrijker, zegt Johan Korpershoek, directeur van Axians. ‘Samen zorgen we ervoor dat overheden hun doelen kunnen realiseren op een manier die veilig, betrouwbaar en vooral toekomstgericht is.”
AUTEUR MARCO VAN DER HOEVEN
De belangrijkste thema’s waarover Johan Korpershoek, directeur van Axians, met vertegenwoordigers uit de publieke sector spreekt zijn regievorming, cyberveiligheid, het creëren van een veilige digitaal fundament (waaronder cloud) en verregaand automatiseren met behulp van data en AI.
“De vraag hoe soeverein je ICT-omgeving moet zijn, is enorm actueel vanwege de recente geopolitieke ontwikkelingen. Dit bewustzijn is de afgelopen jaren sterk gegroeid, zeker nu er meer aandacht is voor de risico’s rondom de afhankelijkheid van internationale technologiebedrijven. Je weet dat je als organisatie nooit volledig onafhankelijk zal zijn. Daarom moet de vraag zijn of je weet waarvan je afhankelijk bent en of je daarvoor bewust hebt gekozen afgewogen tegen de wens en eisen voor transparantie, compliance, weerbaarheid en vooral veerkracht. Want dat is wat je als overheid in de breedte wil en moet faciliteren.”
Duurzaam met technologie
Hij ziet een duidelijke trend dat overheden steeds meer taken uitbesteden. “De focus van de overheid
‘De focus van de overheid ligt steeds sterker op het verbeteren van werk en leven’
ligt steeds sterker op het verbeteren van werk en leven voor de burger, patiënt of student. Daarom zien we dat er hulp nodig is bij het slimmer maken van de bestaande technologie, in bijvoorbeeld het verder automatiseren en beveiligen. Om dat te kunnen doen moeten we data (veilig) laten stromen. Sommige overheden zijn hierin verder dan andere en zien daarom ook ruimte om middels de inzet van technologie te verduurzamen daar waar ESG (Environment, Social en Governance) zichtbaar een steeds prominentere rol inneemt. In aanbestedingen wordt duurzaamheid steeds vaker als eis opgenomen.”
Vertrouwd partnership
Hij ziet een trend van steeds langere aanbestedingen in de ICT. “Bij de uitvoering van projecten en diensten is het van belang dat het partnership groeit en zich ontwikkelt op alle niveaus. Vertrouwen is daarin belangrijk, ook al klinkt dat misschien een beetje zwaar. Maar de contracten die worden afgesloten, hebben vaak een looptijd van vijf tot soms wel vijftien jaar. Wij hebben met veel overheidsklanten een langdurige samenwerkingen opgebouwd waardoor we elkaar goed leren kennen. We zien in de praktijk dat alleen als je elkaar goed kent en begrijpt, je samen sneller kan innoveren. Deze tijd, en het vertrouwen, moet je elkaar dan ook geven.”
“Uiteraard wisselt ook de overheid soms van leverancier, dat hoort bij het speelveld van aanbestedingen. Maar uit ervaring blijkt dat langere relaties in de regel
‘Het is belangrijk om een optimale combinatie te realiseren tussen digitale weerbaarheid en veerkracht’
tot betere resultaten leiden. Het voeren van regie over de verschillende partners vraagt natuurlijk wel een goede governance-structuur en controlemechanisme. Ook hier begeleiden we onze klanten bij zodat de overheid zich kan richten op de kerntaken, zoals burgerzaken, terwijl wij invulling geven aan de afspraken uit het contract.”
Soevereiniteit en veerkracht
Een van de nieuwere thema’s die nadrukkelijk op de agenda staan, is de eerder genoemde digitale soevereiniteit. “Dit heeft door de geopolitieke situatie aan urgentie gewonnen. In het verleden zijn over heden massaal overgestapt op cloudoplossingen, vaak ingegeven door trends en hypes. Dat gebeurde in een hoog tempo. Wij hebben toen al gewaarschuwd dat zo’n overstap niet eenvoudig is en dat het risico’s met
zich meebrengt. Inmiddels zie je dat het tempo van cloudmigratie afneemt. Er ontstaat meer bewustzijn en er wordt vaker gekeken naar hybride oplossingen die je meer keuze en vrijheid geven.”
“Onze ondersteuning op dit vlak bestaat uit het geven van realistische, op kennis gebaseerde adviezen. Wij adviseren wat wel en niet veilig in de cloud geplaatst kan worden. Daarbij houden we rekening met de actuele ontwikkelingen in de internationale technologiesector. Het is belangrijk om weloverwogen keuzes te maken en de juiste balans te vinden tussen cloud, hybride of juist een lokale variant zodat je een optimale combinatie kunt realiseren tussen die digitale weerbaarheid en veerkracht. Een vraag die je daarbij kan stellen is: hoe lang mag en kan je afhankelijk zijn in urgente gevallen? En wil je daarbij een scenario
Johan Korpershoek
creëren waarbij je binnen enkele dagen of zelfs uren kan overschakelen naar een alternatief?”
AI-gedreven
Een ander thema dat relevant blijft is snelle opkomst van kunstmatige intelligentie in het IT-landschap, en dan in het bijzonder generatieve AI. “Binnen de overheid wordt steeds meer gekeken naar de mogelijk heden. Wat je nu vooral ziet, is dat AI wordt ingezet om processen te automatiseren en medewerkers te ontlasten zodat er meer tijd overblijft voor andere taken. Dit doen we bijvoorbeeld binnen de administratieve- systemen zoals Exact, Microsoft Business Central en Microsoft365. Hier activeren we AI-Agents om de afhandeling van facturen te versnellen en informatie beter in de context van de functionaris weer te geven zodat je minder tijd kwijt bent aan het zoeken in al die verschillende systemen. Dit ontsluiten we dan via (mobiele) apps die we relatief snel met lowcode oplossingen realiseren.”
“Daarbij heeft data-governance een eerste grote rol, immers, de juiste rechten en zoek-criteria moeten wel op orde zijn. Daar helpen we op dit moment veel organisaties mee. We zien ook interesse in de afhan -
‘Hoe mooi zou het zijn dat de informatie die je nodig hebt, als vanzelf naar je toekomt?’
deling van vragen binnen bijvoorbeeld een klantcontactcentrum of binnen klantportalen. Daarvoor hebben we in andere branches al de nodige ervaring opgedaan.”
“Waar we ook actief zijn, is het gebruik van data en AI om klanten meer inzicht te geven in hun eigen IT- omgeving. Via het Mijn Axians-portaal bieden we klanten toegang tot data, bijvoorbeeld over hun netwerk, zodat zij proactief actie kunnen ondernemen op het gebied van performance en lifecyclemanagement.”
Axians ontwikkelt zich steeds meer tot een datagedreven dienstverlener. “Via het klantportaal kunnen gebruikers vragen stellen aan chatbots, bijvoorbeeld over datastromen of de geschiktheid van bepaalde opslagoplossingen. Deze digitale ondersteuning helpt bij het maken van keuzes tussen cloud, on-premise of andere opslagvormen. Naast het portaal bieden we andere onderdelen aan binnen onze
propositie. Sommige overheidsinstellingen hebben nog veel operationele IT-kennis in huis en kunnen onze rapportages gebruiken om zelf beslissingen te nemen. Andere organisaties besteden meer uit en gebruiken onze informatie om hun regievoering te ondersteunen.”
Continuïteit en voorspelbaarheid
De klanten kunnen via het portaal bijvoorbeeld zien of de afgesproken servicelevels daadwerkelijk gehaald worden. “Dat maakt het eenvoudiger om leveranciers te monitoren en, waar nodig, bij te sturen. Stabiliteit, continuïteit en voorspelbaarheid zijn cruciale eisen, zeker in de publieke sector. Een gemeentelijke website mag bijvoorbeeld niet langdurig uit de lucht zijn. Door gebruik te maken van datakoppelingen en API’s brengen wij informatie uit diverse systemen samen in een datalake. Deze informatie wordt ontsloten via het portaal, waar klanten bijvoorbeeld zelf standaardwijzigingen kunnen initiëren wanneer het hen uitkomt.”
Een concreet voorbeeld van die dienstverlening aan de overheid is de network-as-a-service-propositie. “Wij leveren apparatuur en diensten op basis van een pay-per-use-model. Overheidsklanten kunnen tijdens de looptijd van het contract – meestal zeven jaar –op- en afschalen. Naast connectiviteit bieden wij ook aanvullende diensten zoals security en SOC-dienstverlening. Deze aanpak stelt overheidsinstellingen in staat om flexibel en veilig te opereren binnen hun netwerkinfrastructuur.”
Digitaal fundament voor de toekomst
Veel organisaties praten over datagedreven werken, dit kan alleen als alle schakels in de ICT keten goed en veilig op elkaar aansluiten. “Het digitale fundament is daarbij letterlijk de basis om data te laten stromen in en tussen de verschillende applicatie-domeinen binnen en rondom de overheid. Door vervolgens de data uit netwerken en verschillende informatiesystemen te combineren, vaak met tussenkomst van een data-platform, zorgen we ervoor dat we eindgebruikersapplicaties voeden met informatie die in de context staat van ieders werk. Want hoe mooi zou het zijn dat de informatie die je nodig hebt als vanzelf naar je toekomt?”
“Met een solide fundament ondersteunen we écht een datagedreven, of beter gezegd een AI-Agent gedreven, toekomst. Samen zorgen we ervoor dat overheden hun doelen kunnen realiseren op een manier die veilig, betrouwbaar en vooral toekomstgericht is.”
FLEUR HERMSE, FUJITSU
Technologie helpt de maatschappij verder
Slimme inzet van technologie kan de overheid veel voordelen opleveren. Maar de unieke maatschappelijke rol van de overheid zorgt ook voor uitdagingen waar het bedrijfsleven minder mee te maken heeft. Bedrijven als Fujitsu kunnen hierbij helpen door werk dat niet tot de kerntaken van de overheid behoort, zoals IT-beheer, over te nemen en door belangrijke (burgergerichte) processen te automatiseren.
AUTEUR MARCO VAN DER HOEVEN
Een belangrijke uitdaging bij de Nederlandse overheid is het vinden van de juiste mensen.
“De war for talent is al ingewikkeld, maar ik denk dat die voor de overheid nog wat complexer is”, zegt Fleur Hermse. Zij heeft zelf bij de overheid gewerkt, waardoor zij beide kanten van het verhaal goed kent. “Bij bedrijven is het al moeilijk om goede mensen te vinden, maar binnen de overheid zit je ook nog eens vast aan een strak functiehuis met schalen en cao’s.”
“De enige manier waarop je echt talent aan je kunt binden, is door mensen aan te spreken op hun intrinsieke motivatie om iets te betekenen voor de maatschappij. Dat is best ingewikkeld, maar heel noodzakelijk. Gelukkig zijn er nog genoeg mensen die dat willen, maar het blijft een van de grootste uitdagingen. Daar komt bij dat de overheid kampt met een vergrijzend personeelsbestand. Vernieuwing en verjonging zijn absoluut noodzakelijk, en dat maakt het extra ingewikkeld.”
Sleutelrol
Ze vervolgt “Uiteindelijk zullen we het toch met minder mensen moeten doen, onder meer vanwege de vergrijzing, de levensverwachting en het dalende geboortecijfer. De vraag is dus: hoe ga je dat oplossen? Technologie zal daar een sleutelrol in gaan spelen.”
Daarnaast spelen er andere vraagstukken. “Het is belangrijk om ervoor te zorgen dat in de dienstverlening de burger centraal staat. Dat blijft een uitdaging voor de overheid. Want aan de ene kant wil men risicobeheersing en voldoen aan regelgeving, Aan de andere kant verwacht de burger dezelfde gebruiksvriende -
lijkheid als bij commerciële apps op zijn smartphone. Dat gaat niet altijd samen. Het risicoaversie karakter van de change processen bij de overheid helpt ook niet mee”
Geopolitiek
De geopolitieke situatie speelt ook een steeds belangrijkere rol. “Hoe zorg je dat politiek en beleid goed op elkaar zijn afgestemd? Hoe maak je beleid flexibeler en hoe toets je of dat beleid daadwerkelijk resultaat heeft? Een belangrijk vraagstuk is ook of dat beleid gebaseerd is op data en of je cijfermatig kunt aantonen dat het effect heeft gehad. Dit datagedreven bijsturen op beleid staat nog in de kinderschoenen”
‘Veel primaire processen bij de overheid draaien op sterk verouderde technologie’
De laatste trend waar zij met de overheid over spreekt de levensduur van systemen. “De trend van de vergrijzende workforce hangt samen met de levensduur van veel systemen binnen de overheid: die zijn soms verouderd. Dat zorgt voor een reëel bedrijfsrisico, want veel primaire processen draaien op sterk verouderde technologie. Hoe meer veroudering er in de systemen zit, hoe meer geld hierheen moet om ze te onderhouden. Hierdoor is er minder geld voor vernieuwing en verandering. Niets wat men niet weet, maar wel een probleem waar vele departementen en uitvoeringsorganen dagelijks mee lopen te stoeien.”
Helpen
Hier ligt een taak voor aanbieders als Fujitsu. “De overheid helpen met technologie is geen one-sizefi ts- all-aanpak. Kijk bijvoorbeeld naar het legacyvraagstuk. Het moderniseren van die systemen bij onze overheidsklanten kan op meerdere manieren. Het begint allemaal met uitzoeken hoe je zo’n systeem daadwerkelijk kunt ontvlechten en moderniseren.”
Dat is niet alleen een technologische kwestie. Sterker nog, het succes van de modernisering dan wel het veranderen van processen ligt bij de mensen die dit doen. Technologie is feitelijk het minste probleem. “Het is belangrijk dat organisaties, en dus niet alleen de overheid, zich afvragen op welke taken zij zich echt moeten richten. Waar maakt een organisatie het verschil? Waar zit de kennis en kunde van mensen die waarde toevoegen? Daar zit de kern. Bedrijven als
‘Zorg er als bestuur voor dat je begrijpt wat technologie is. Dat voorkomt spookverhalen’
Fujitsu kunnen helpen door bepaalde niet-kerntaken over te nemen en te helpen om de kennis binnen de overheid daar te positioneren waar hét verschil gemaakt kan worden. Dit kan in de vorm zijn van mensen maar ook zeker in de vorm van technologie. Tegenwoordig is er immers technologie voorhanden die bepaalde repeterende taken over kan nemen van een mens zelfs als hierin beslissingen genomen moeten worden en er interactie moet zijn met een burger dan wel medewerker.”
Meerwaarde
Het gaat er dan bijvoorbeeld om of de IT-afdeling van een departement daadwerkelijk meerwaarde heeft in de werkplekdienstverlening, de servicedesk of het beheer van IT- en infrastructuursystemen. “In veel gevallen is het antwoord nee. Het is vaak zonde om
het schaarse personeel op zulke taken in te zetten. Dan is het zaak om dit op een goede manier uit te besteden, zodat je mensen vrijmaakt voor werkzaamheden die wél het verschil maken, juist voor de burger en de maatschappij. ”Zou je dezelfde vraag stellen voor cybersecurity, dan is het antwoord een stuk genuanceerder. Er zijn veel onderdelen waarvan je je kunt afvragen of je die als overheidsorganisatie zelf moet blijven doen, echter cyber is een mooi voorbeeld waar je juist wel als overheid controle over wilt hebben met voordehand liggende redenen. Kortom: wat wil je wel zelf doen en wat niet, en hoe maak je daar bewuste keuzes in? De Nederlandse overheid kan zo de beperkte vijver van ICT-talent zo optimaal mogelijk benutten.”
Infrastructuur
Een vergelijkbaar argument geldt voor infrastructuur en cloud. “Wij helpen om te bepalen welke onderdelen je als overheid wel zelf wilt blijven doen – bijvoorbeeld regie en beleid – en welke onderdelen, zoals standaard uitvoerende taken, je kunt overlaten aan een partner. Bijvoorbeeld applicaties aan de voorkant toegankelijker maken voor alle typen doelgroepen die we als Nederlandse overheid bedienen. Zorgen dat een front-end goed benaderbaar is voor bijvoorbeeld iemand die blind is, of doof, of moeite heeft met lezen.“
“De kennis en ervaring die wij vanuit het bedrijfsleven hebben opgebouwd kan de Nederlandse overheid ondersteunen in het oplossen van al die uitdagingen. Ik vind het belangrijk om daarbij te benadrukken dat we als bedrijf ook een maatschappelijke rol hebben, we handelen niet uitsluitend uit eigenbelang. Dat beeld leeft soms, maar klopt niet. Veel organisaties zijn meer dan bereid om samen met de overheid te kijken naar oplossingen voor complexe vraagstukken. Het zou mooi zijn als de overheid iets ontvankelijker zou zijn voor dit soort samenwerking. De bereidheid om met het bedrijfsleven in gesprek te gaan is nu nog erg afhankelijk van personen, het is niet vanzelfsprekend binnen overheidsorganisaties. Terwijl ik ervan overtuigd ben dat als deze samenwerking natuurlijker zou zijn,
de overheid snellere stappen zou kunnen zetten in het uitvoeren van het beleid aangezien de hoeveelheid beschikbare kennis dan ineens exponentieel groeit. Overigens zijn er gelukkig ook al wel initiatieven waar je ziet dat deze samenwerking wel wordt gevonden.”
Betrokkenheid
“Het gaat om samenwerken en met elkaar in gesprek gaan. Zorg er als bestuur voor dat je begrijpt wat technologie is. Dat voorkomt allerlei spookverhalen, gebaseerd op onderbuikgevoelens in plaats van feiten. Enerzijds kun je door technologie ondersteunende processen efficiënter maken, zodat je meer ruimte en tijd creëert voor je primaire processen. Anderzijds kun je door technologische innovatie nieuwe vormen
van dienstverlening ontwikkelen. En dat is precies waarom technologie binnen het bedrijfsleven niet alleen als noodzakelijk, maar ook als waardevol en strategisch wordt gezien. Veel beursgenoteerde bedrijven beschouwen technologie als een kernonderdeel van hun bestaansrecht.”
Ze besluit: “Veel bedrijven willen juist vanuit een oprechte betrokkenheid bijdragen. Als Nederlandse burger wil ik zelf ook dat mijn belastinggeld niet verspild wordt aan iets dat geen kans van slagen heeft.
Bij Fujitsu, een Japans bedrijf, speelt bovendien mee dat aandacht voor de gemeenschap diepgeworteld zit
in de cultuur: het besef dat je het samen moet doen, omdat je handelt vanuit integriteit en maatschappelijke verantwoordelijkheid.”
Fleur Hermse
ARJEN VAN DER MEER, SOPHOS
‘ Pak security strategisch én tactisch aan’
Dat
cybersecurity voor de overheid belangrijk is, staat buiten kijf. Maar aan de manier waarop die security wordt georganiseerd is nog wel iets te verbeteren. Dat kan met name door in deze snel veranderende wereld meer aandacht te besteden aan praktische zaken op het tactische niveau. We spraken over deze noodzaak van meer flexibiliteit met Arjen van der Meer van Sophos.
AUTEUR MARCO VAN DER HOEVEN
Cybersecurity staat zowel in de publieke sector als het bedrijfsleven onverminderd hoog op de agenda. “Wat we daarbij zien is dat de overheid vooral op strategisch niveau met cybersecurity en ICT bezig is”, zegt Arjen van der Meer, Enterprise Account Executive bij Sophos Nederland. “Die lange-termijn-doelen zijn uiteraard belangrijk, maar in de steeds sneller veranderende wereld waarin we leven, moet je je ook meer op tactische zaken richten.”
De overkoepelende vraag is meestal naar een oplossing die de organisatie veilig maakt en veilig houdt. Van der Meer: “Dat is dan vaak productgericht, waarbij een publieke instelling een eigen ICT-team verantwoordelijk maakt voor het succes van dat product. En dat is eigenlijk vandaag de dag niet meer houdbaar.”
“IT-afdelingen hebben al te maken met tientallen producten die ze allemaal tot op zekere hoogte moeten kennen en beheersen om er een succes van
‘In de steeds sneller veranderende wereld waarin we leven, moet je je ook meer op tactische zaken richten’
te maken. En als je cybersecurity dan óók nog als een interne verantwoordelijkheid blijft beschouwen, heb je niet alleen een probleem met 24/7-dekking, maar vooral ook met kennis.”
Dreigingen
Sophos biedt een breed scala aan oplossingen, van firewalls tot endpoint protection en managed detection and response. Hierdoor heeft het bedrijf te ma -
ken met diverse gesprekspartners in een organisatie, van systeembeheerders tot CISO’s en CIO’s. “Een firewall is vaak een onderwerp voor de systeembeheerder. Maar cybersecuritydoelen op de langere termijn —hoe houd ik mijn organisatie veilig, hoe maak ik een keuze voor een antivirusoplossing — zitten meer op strategisch niveau bij een CISO of CIO.”
De cyberdreigingen waar de overheid mee te maken heeft zijn vergelijkbaar met die in het bedrijfsleven. “We doen ieder jaar een aantal onderzoeken naar trends op het gebied van cyberrisico’s. De belangrijkste dreiging is op dit moment die van kwetsbare inloggegevens. Phishing of spear phishing blijft een veelvoorkomende manier waarop criminelen binnenkomen. Ze vinden een kiertje en weten zich daarna binnen de organisatie te verplaatsen. Juist dat kiertje is heel moeilijk volledig te dichten.”
Daar speelt de mens altijd een rol in. “Mensen klikken op een schadelijke link. Met techniek kun je al deels voorkomen dat de link binnenkomt. En als er op geklikt wordt kun je de gevolgen ervan wél real time detecteren en zorgen dat de schade beperkt blijft.”
Risico’s
Al jaren komen veel geavanceerde en grootschalige aanvallen van de usual suspects als China en Rusland. “Maar wat we wél zien, is dat de dreiging vanuit politieke hoek toeneemt. Het zijn niet alleen meer cybercriminelen die toegang tot jouw data kunnen opeisen, inmiddels kunnen ook bondgenoten dat. Dan heb je het over nieuwe geopolitieke ontwikkelingen en strategische risico’s.
Dat raakt de eerdergenoemde discussie over strategisch versus tactisch. “Strategisch hebben we ons
jarenlang in een afhankelijke positie laten drukken. We zijn in meer of mindere mate afhankelijk geworden van grote cloudaanbieders en Amerikaanse cyber securityleveranciers, terwijl we Europa verwaarloosd hebben.”
“We moeten dus meer terug naar onze eigen autonomie. En omdat de overheid dit collectief wil aanpakken—strategisch dus—gaat dat traag. In het bedrijfsleven staat dat onderwerp gewoon maandelijks op de agenda van de IT-managers en daar wordt doorgepakt.”
Data opslaan
Om die afhankelijkheid te verminderen kunnen klanten van Sophos kiezen waar zij hun data opslaan. “We hebben datacenters binnen de Europese Economische Zone waar zij gebruik van kunnen maken. Daarnaast zijn wij al veertig jaar een Europees bedrijf. We zijn in 1985 begonnen en in 1987 formeel opgericht in Abingdon, in het Verenigd Koninkrijk. Wij bieden klanten keuzevrijheid door ze uit te leggen dat je, zelfs wanneer je gebruikmaakt van een Amerikaanse cloud—zoals veel organisaties doen en waar je niet zomaar vanaf stapt—nog steeds een Europees bedrijf kunt inschakelen om die cloud te beveiligen.”
“Wij hebben er jaren geleden bewust voor gekozen om onze oplossingen zo te bouwen dat ze niet complex zijn en bovendien zeer schaalbaar. Dat bewijzen we inmiddels met meer dan 30.000 MDR-klanten wereldwijd. Dat is geen geringe schaal. We hebben daarnaast een uitgebreid partnernetwerk dat onze klanten stap voor stap begeleidt. Dat kunnen wij niet allemaal zelf. We zijn met 5.000 medewerkers wereldwijd, maar als je dit op schaal wilt doen, heb je een goed partnerkanaal nodig.”
‘Wil je dat het MSP-model werkt, dan zul je afscheid moeten nemen van starre aanbestedingsprocessen’
MSP
In het bedrijfsleven wordt het MSP-model steeds populairder, waarbij gebruikers ervoor kunnen kiezen om maandelijks af te rekenen op basis van daadwerkelijk gebruik, zonder eigenaar te hoeven worden van de producten. “Dat maakt het voor alle partijen veel flexibeler: je kunt het makkelijker integreren in een bestaande dienst van de partner, of inspelen op economische schommelingen of seizoensinvloeden bij de eindklant.”
Hier is voor de overheid nog wel winst te behalen. “Wil je dat het MSP-model werkt, dan zul je afscheid moeten nemen van starre aanbestedingsprocessen. Dan moet je als organisatie meer tactisch kunnen schakelen en zorgen dat je volgende week klaar bent voor volgend jaar. Dan kijk je minder naar processen en protocollen, maar naar wat werkelijk effect en efficiëntie oplevert.”
Zaklamp
Hij besluit: “Er wordt veel potentieel uitgesloten door de manier waarop de overheid de markt benadert. Zo bieden we 24/7 Managed Detection and Response (MDR) vanuit zeven wereldwijde SOC’s waar de mensen uitsluitend dagdiensten draaien en dus altijd scherp zijn. Maar omdat cybercriminelen meestal niet tussen negen en vijf toeslaan, maar juist als het licht uitgaat, moet je zorgen dat er iemand rondloopt met een goede zaklamp.”
“Maar we horen vaak dat de voertaal in onze SOC’s, Engels, een bezwaar is voor overheidsorganisaties. Die komen dan terecht bij iemand die óf nachtdiensten, of piketdiensten draait met een telefoon op het nachtkastje. Dat is minder veilig dan een 24/7 draaiend SOC dat ook nog eens proactief gewaarschuwd wordt voor nieuwe dreigingen.”
Arjen van der Meer
KOEN GIJSBERS:
‘ Europa is nog niet klaar voor een conflict met Rusland’
Is Europa in staat zich effectief te verdedigen tegen een mogelijke aanval van Rusland? Volgens defensiestrateeg Koen Gijsbers is het antwoord simpel: nog niet. Tijdens zijn keynote op het door The Hague Centre for Strategic Studies georganiseerde evenement Cloud to Community, in aanloop naar de NAVO-top in Den Haag, schetste hij een urgente boodschap. Europese NAVO-landen zijn nog niet klaar voor een grootschalig conflict – niet op het fysieke slagveld, en zeker niet op digitaal gebied. “We maken al 20 jaar dezelfde fouten. We moeten leren van deze ervaringen.”
AUTEUR MARTIJN KREGTING
Gijsbers, voormalig topadviseur op het gebied van digitale innovatie binnen de NAVO, benadrukte de noodzaak van een geloofwaardige C4ISR-structuur (Command, Control, Communications, Computers, Intelligence, Surveillance and Reconnaissance). Digitale systemen zijn volgens hem onmisbaar in moderne oorlogsvoering – mits ze aan drie eisen voldoen: interoperabiliteit, veerkracht en ingebouwde beveiliging. “Is het interoperabel zodat we ook met onze partners kunnen werken? Is het solide genoeg om het slagveld te overleven? Is het veilig genoeg – secure by design?”
Gijsbers ziet forse obstakels om deze drie elementen te realiseren binnen de huidige defensiestructuren. Inkoopprocessen zijn te complex, besluitvorming is traag, en samenwerking tussen overheden en innovatieve startups verloopt moeizaam. Terwijl de vijand razendsnel leert, opereren veel NAVO-leden nog met 20e-eeuwse processen en structuren.
“Een van mijn vroegere commandanten, generaal Mattis, zei me ooit: als je goede mensen met slechte processen laat werken, dan krijgen de processen negen van de tien keer de overhand. We moeten dus heel snel die processen verbeteren. Toen ik bij de NAVO vertrok in 2017, moest je voor elke aankoop meermaals consensus verkrijgen bij een betrokken advies- of toezichtraad. En de financiële mensen hadden én hebben hier nog steeds de overhand. Nou blijft financieel toezicht belangrijk, maar we moeten momenteel meer geld uitgeven, niet besparen.”
Leren van Afghanistan, Oekraïne en civiele sector
In zijn keynote deelde Gijsbers enkele belangrijke lessen. Allereerst wees hij op de samenwerking tussen defensie en civiele industriepartijen tijdens de NAVO-missies in Afghanistan. Die samenwerking versterkte de operationele slagkracht aanzienlijk. Vervolgens verwees hij naar de geavanceerde
‘Het zijn nog altijd de babyboomers die beslissen. Zij zijn niet opgegroeid in het digitale tijdperk’
elektronische oorlogsvoering in Oekraïne, die Europa op achterstand heeft gezet.
Ten derde benadrukte hij hoe militaire organisaties meer gebruik moeten maken van civiele technologie, van automotive tot drones. “Civiele en militaire netwerken moeten elkaar versterken om de Europese veiligheid te verbeteren.”
Van bureaucratie naar slagkracht
Binnen defensie is volgens Gijsbers nog te weinig ruimte voor vernieuwing. Grote agentschappen bij de NAVO maar ook ons JIVC (Joint IV Commando) zijn log en ver verwijderd van het slagveld. Het gevolg: trage besluitvorming, gemiste kansen, en technologische achterstand.
“Als je grote organisaties creëert, krijg je bureaucratie en trage, complexe processen. Dat is logisch, maar als dit niet snel verandert, zullen wij over 3 tot 5 jaar niet klaar zijn voor een conflict met een land als Rusland. Op drie punten die ik net noemde – interoperabiliteit, resilience, security - moeten deze veranderingen dus snel plaatsvinden.”
Daarnaast ontbreekt het aan jonge, digitaal vaardige besluitvormers. “Het zijn nog altijd de babyboomers die beslissen”, stelde Gijsbers droogjes.
“Zij zijn niet opgegroeid in het digitale tijdperk.” Tegelijkertijd blijken gevestigde defensiebedrijven (de zogenoemde primes) weinig flexibel. Terwijl start ups, die wél innovatie kunnen leveren, nauwelijks toegang krijgen tot defensie contracten – mede door inflexibele aanbestedingsregels.
Terug naar succesvolle publiek- private samenwerking Gijsbers pleit voor een herwaardering van eerdere succesvolle publiek- private samenwerking, zoals het NAVOprogramma rond 2010 dat met 100 civiele defensiebedrijven werd uitgevoerd, zowel uit de VS als Europa. Europese defensie moet volgens Gijsbers niet blijven hangen in nationale silo’s of alles zelf willen doen. Alleen door samen te bouwen aan interoperabele, digitale infrastructuur kunnen NAVOlanden slagvaardig worden.
“Dit programma liep tot ongeveer 2012 of 2013. Helaas vervielen we daarna weer tot zelf ontwikkelen van oplossingen, onvoldoende in samenwerking
met de civiele sector. We moeten terug keren naar dit succesverhaal –niet alleen met militaire leveranciers, maar ook met commerciële IT- en cloudpartners.”
Een van de belangrijkste aandachtspunten is weerbaarheid. De tijd dat NAVO-landen oorlog voerden tegen low-tech tegenstanders in afgelegen gebieden is voorbij. De volgende dreiging speelt zich af op eigen grondgebied –en vereist inzet van zowel militaire als commerciële digitale infrastructuur.
Gijsbers: “Dit biedt ook enorme kansen op het gebied van infrastructuur: cloud, mobiele netwerken zoals 5G, commerciële satcom. Dit betekent dat we zowel militaire als commerciële infrastructuur kunnen gebruiken, maar dan wel in samenwerking. Alleen niet op de manier zoals nu bijvoorbeeld in Duitsland gebeurt, waar de overheid een nationale defensiecloud laat opzetten in samenwerking met Google. Hoe houden we dit interoperabel als andere landen allemaal hun eigen keuzes maken?
Security zonder verlamming
Tot slot waarschuwt Gijsbers voor het
verlammen van innovatie door te rigide security-eisen voor alles. Hij pleit voor een aanpak gebaseerd op risicoinschatting. Veel startups beschikken simpelweg niet over de expertise om militaire beveiligingsstandaarden te implementeren. “Er zijn startups die dit kunnen, maar die zitten niet in onze netwerken. De uitdaging is om hen daar wel in te brengen, zodat zij samen kunnen werken met startups die zich focussen op functionaliteiten.”
Tegelijkertijd moeten defensieorganisaties kritisch kijken naar wat écht beschermd moet worden: het hele netwerk, of alleen de gevoelige data? Gijsbers hierover: “Security wordt vaak gezien als iets dat belemmert – en dat klopt ook, als het verkeerd wordt toegepast, als het overal op dezelfde wijze wordt toegepast. Moet bijvoorbeeld het netwerk als geheel beschermd worden, of moeten we meer kijken naar bescherming van data en devices, de militaire IoT?”
Tijd dringt
De keynote van Koen Gijsbers was geen technisch betoog, maar een oproep tot snelheid, samenwerking en aanpassingsvermogen. De tijd van langdurige aanbestedingen en risicomijdende processen is voorbij. Europa moet bouwen aan een moderne, digitale en adaptieve defensie – en dat kan alleen samen met civiele partners.
“Concluderend denk ik dat we kunnen leren van ons verleden. We moeten terugkeren naar de samenwerking van voorheen, maar dan breder, met commerciële partijen uit de IT-sector. We moeten goed leren van de harde lessen die nu in Oekraïne geleerd worden. En we moeten af van te veel focus op nationale ontwikkeling van producten, tenzij ze interoperabel, resilient en secure by design zijn.”
Koen Gijsbers
EDWIN ENTROP, CIO ING NEDERLAND:
‘De bank zit tegenwoordig in je broekzak’
De bancaire sector begon al vroeg met digitalisering. Eerst uit efficiencyoverwegingen, inmiddels ook omdat klanten niet anders willen. Ook voor ING is dat zo, vertelt Edwin Entrop,
CIO van ING Nederland. “De bank zit tegenwoordig in je broekzak. Als klanten iets willen regelen, vinden ze het vreemd als dat niet digitaal kan.”
AUTEUR MARTIJN KREGTING
Met een kleine 28 dienstjaren bij ING – altijd in IT-functies – is Edwin Entrop een oudgediende bij de bank. Inmiddels is hij als CIO van ING Nederland verantwoordelijk voor alle IT-ondersteuning intern en voor alle klanten behalve de echt grootzakelijke tak. Entrop zag in de afgelopen tien jaar het belang van IT enorm veranderen.
“De smartphone is tegenwoordig de interface tussen de bank en de meeste van onze klanten. Dat is vanuit ING geïnitieerd, nog vóór corona, in eerste instantie vanuit optimalisatie. De coronapandemie heeft wel voor een enorme ommezwaai gezorgd: van push is het pull geworden. De meeste klanten vragen tegenwoordig, als ze voor iets naar een branchekantoor moeten, waarom het niet digitaal kan. Videobellen zorgt daarbij zo nodig nog voor een personal touch.”
‘Full digital push’
De ‘full digital push’ is gestart vanuit particuliere hoek, inclusief zzp’ers. 79 procent van alle contacten met particuliere ING-klanten is mobile only. Zij bellen niet meer, komen niet op kantoor langs en gebruiken zelden een computer voor bankzaken, schetst Entrop.
“De afgelopen jaren zie je ook kleinzakelijk, mkb en midmarket in toenemende mate digitaliseren. We werken er nu hard aan om alle – toch vaak wat
meer complexe – zakelijke bankdiensten volledig digitaal aan te bieden. Dat is momenteel een hele belangrijke ontwikkeling, naast steeds meer gepersonaliseerde diensten en productaanbiedingen.”
Zakelijke klanten gebruiken nog wel veel webgebaseerde diensten, benadrukt Entrop: dat is belangrijk voor integratie met hun eigen systemen. Die integratie gaat minder makkelijk met een mobiele app.
IT als core skill
Ook intern is ING sterk veranderd. Het meest zichtbare voorbeeld is de teruggang in het aantal filialen – branches zoals Entrop het noemt. Er is nog altijd
zodat ze zich verder kunnen ontwikkelen in de digitale wereld.”
Voorloper
Waren banken al vroeg bezig met digitalisering, volgens Entrop was ING – en diens voorgangers zoals de Postbank – ook binnen de sector een voorloper. De IT-organisatie is al decennialang voortdurend in verandering om het innovatieve karakter van de organisatie te faciliteren. Dat betekent uiteraard wel dat er in de loop der jaren veel legacy ontstaat, zoals oudere mainframes en software waar nog altijd veel kernprocessen op draaien.
Entrop: “ING heeft als een van de eerste banken in Nederland die mainframes en andere legacy-systemen,
‘Er zijn nieuwe skills nodig nu AI en data steeds belangrijker worden’
een stabiel netwerk van meer dan 200 locaties waar mensen fysiek bediend worden, waaronder een aantal ING Servicepunten. “Maar primair verlenen we onze service digitaal. IT is echt een core skill geworden bij ons. Zonder IT kan een bankorganisatie niet meer bestaan.”
Entrop benadrukt dat medewerkers van ING geleidelijk zijn meegenomen in deze ontwikkeling, onder meer via herscholing en bijscholing. “ING vindt het belangrijk om medewerkers van werk naar werk te begeleiden op dit gebied,
toepassingen en programmeertalen vrijwel volledig uitgefaseerd. We werken nu met een microservicesarchitectuur en agile deliverymethodiek, met moderne programmeertalen zoals Java. Er zijn nieuwe skills nodig nu AI en data steeds belangrijker worden. De ontwikkelingen gaan snel en daar passen we – op basis van een gemoderniseerde IT-infrastructuur – onze organisatie steeds op aan.”
Ook de integratie van IT en business is toegenomen, vervolgt Entrop. Zo zijn rond 2014-2015 de business- en tech -
kant van ING op basis van zogeheten tribes ingericht. Dat soort geïntegreerde teams kunnen samen zoeken naar de best mogelijke oplossingen voor bestaande of nieuwe diensten.
“Laat ik als voorbeeld de tribe Hypotheken nemen. Alle stakeholders kijken in zo’n tribe samen naar de behoeften van klanten, naar hoe een product dat hieraan voldoet eruit moet zien, en naar welke developers het product inrichten op IT-gebied. In sprints van twee weken wordt dan op basis van feedback een product uitgeprobeerd en verbeterd – zowel binnen eigen teams als de tribe. Via een iteratief, continu ontwikkelproces komen we zo tot een eindproduct, in volledige samenspraak tussen bancaire en technologische kennis.”
Rode draad
Veiligheid en privacy lopen als een rode draad door alles heen waar Entrop en diens afdeling mee bezig zijn. Vertrouwen is voor een bank cruciaal, weet Entrop na bijna 28 jaar ING als geen ander. “Als klanten geen vertrouwen meer hebben in ons als bank, houdt het snel op. Vertrouwen in én beschikbaarheid van onze diensten zijn daarom prioriteit nummer één. Dat betekent ook dat we voorzichtig, gecontroleerd gebruikmaken van AI. Het gaat heel snel met AI – wat vandaag niet mogelijk is, kan morgen wel. Maar we willen dit gecontroleerd doen.” Dit heeft geleid tot een aantal AI-speerpunten:
> Chatbot voor klantvragen Een volgens Entrop door klanten zeer gewaardeerde optie.
> Data-analyse Het verwerken van jaarrapporten en pensioenoverzichten is nu nog grotendeels hand matig. “We onderzoeken in hoeverre we analisten met AI kunnen ondersteunen, zodat we ze sneller en efficiënter klanten kunnen helpen.”
> Zakelijke leningen “We bekijken of we de toekenning via AI sneller en efficiënter kunnen maken.”
> Codegeneratie De IT-afdeling gebruikt onder meer Github Copilot om te helpen bij het genereren van code. “Na een pilot zijn we nu bezig met een gecontroleerde uitrol binnen een kleine groep.”
> Testautomatisering AI ondersteunt het maken en uitvoeren van testcases.
Niet alleen ING zelf is aantrekkelijk voor cybercriminelen, dat geldt ook voor de klanten. “Ook daarin blijven we innoveren”, vertelt Entrop. “Soms zijn dat complexe, onzichtbare innovaties – bijvoorbeeld om te voorkomen dat klanten via een nep-Whatsappbericht van een familielid worden overgehaald geld over te maken. Soms zijn het zichtbare, succesvolle innovaties. Zo zijn we trots op ‘Check het gesprek’, waarmee een klant direct kan controleren of hij of zij door ING wordt gebeld. Onze medewerkers geven aan dat ze nu 50 procent minder fraudemeldingen krijgen.”
Internationale aanwezigheid
De kracht van de internationale aanwezigheid van ING is volgens Entrop dat innovaties ook in andere landen kunnen worden ingezet. “Andersom adopteren wij innovaties van andere ING-organisaties om onze dienstverlening te verbeteren en veiliger te maken. Daarnaast werken we, waar het niet om directe concurrentie gaat – zoals bescherming en veiligheid –samen met andere banken. Zo heeft een tweede bank in Nederland inmiddels ook ‘Check het gesprek’ geïntroduceerd.”
Ondanks zorgen over mogelijke negatieve impact van AI en technologie zoals kwantumcomputing slaapt Entrop naar eigen zeggen elke nacht goed. “Uiteraard volgen we deze ontwikkelingen nauwgezet. We zijn zelf ook al een jaar of zeven bezig om de kansen en uitdagingen van kwantumcomputing in beeld te krijgen. En de techneut in mij ziet toch ook de positieve kanten.”
Horizon 2028
Alle ambities en uitdagingen van ING op digitaal gebied zijn vervat in de digitale strategie Horizon 2028. Onderdeel van deze strategie is onder meer het verder digitaliseren van de dienstverlening voor particuliere en zakelijke klanten. Dat geldt ook voor dienstverlening met ESG-componenten omdat ING gelooft hier een belangrijke rol in te kunnen spelen – zoals het mogelijk maken voor klanten van verduurzaming van woningen of kantoren. Verder kan ING zo zakelijk voldoen aan de afspraken van Parijs.
“Daarnaast willen en zullen we veiligheid en beschikbaarheid van deze diensten de hoogste prioriteit blijven geven”, stelt Entrop. “We zullen hierbij gebruikmaken van nieuwe technologieën – bestaande én toekomstige. Ik denk dat we daarmee ook een werkklimaat creëren waarin we IT-personeel aan ons kunnen blijven binden.”
Edwin Entrop
CONRAD VAN VEENENDAAL, TANIUM
Leren om verder te komen
De overheid staat voor belangrijke uitdagingen op het gebied van technologie. Maar veel van die uitdagingen zijn ergens al eens aan bod gekomen, en hebben daar tot een oplossing geleid. Belangrijk bij het helpen van de overheid op het gebied van ICT is dan ook om te laten zien wat er elders al kan, bijvoorbeeld in het buitenland, zegt Conrad van Veenendaal van internationale aanbieder Tanium.
AUTEUR MARCO VAN DER HOEVEN
Een terugkerend thema in gesprekken met vertegenwoordigers van de overheid is nog steeds kostenbesparing, merkt Conrad van Veenendaal, Directeur Publieke Sector bij Tanium. “Onze klanten binnen de overheid hebben taakstellingen opgelegd gekregen om miljoenen te besparen, terwijl er juist meer op hen afkomt dan ooit. Vanuit mijn contacten, vaak op het niveau van C Level of senior adviseurs, hoor ik regelmatig: we moeten meer doen met minder. Niet eens meer doen met hetzelfde – dat zou al een uitdaging zijn – maar echt meer doen met minder.”
Teams worden kleiner, budgetten krimpen, maar de hoeveelheid werk neemt toe. “Een veelvoorkomende reflex is bijvoorbeeld het niet verlengen van contracten van zzp’ers, ingehuurd voor langere trajecten. Dit zorgt ervoor dat de capaciteit terugloopt, juist terwijl verandertrajecten sneller, efficiënter, betrouwbaarder en voorspelbaarder moeten verlopen. De overheid moet digitale diensten leveren met een hoge mate van stabiliteit – en dat is een serieuze opgave.”
Talent
Een tweede structureel thema blijft de strijd om talent. “Door de vergrijzing neemt de druk verder toe, resources zijn schaars, en de mensen die er wel zijn, worden zwaar belast. Dat leidt regelmatig tot uitval. Niet altijd, maar
het gebeurt wel.” Verantwoording en compliance vormen een derde structurele uitdaging. “Er komt veel wet en regelgeving op de overheid, en de vitale sector, af. Denk aan NIS2 en de Cyber Resilience Act. Binnen die complexiteit, terwijl mensen steeds zwaarder belast worden, moet de overheid overeind blijven.”
“In die context ontstaan gesprekken over hoe wij kunnen helpen. Wat doen we al bij andere klanten? Wat zijn best practices? Hoe kun je leren van ervaringen uit andere trajecten? We nemen de rijksoverheid al jaren mee naar die
gesprek gaat altijd eerst over de juiste uitgangspunten: mandaat, governance, fundament. Niet over een training of een product. En dat wordt gewaardeerd. Wat je merkt, is dat leren van peers – van andere overheden – erg goed werkt. Binnen de overheid voelen mensen zich opener als ze onder elkaar zijn. Er ontstaat een andere dynamiek, vaak ook omdat ze elkaar al kennen. Twintig jaar geleden werkten ze misschien samen bij een ander ministerie.”
“Daarom nemen we ze op dit moment nog niet echt mee naar bedrijven. Niet omdat we dat niet willen – integendeel
‘Binnen de overheid voelen mensen zich opener als ze onder elkaar zijn’
best practices. Zo waren we bijvoorbeeld vorige week nog in Londen, samen met vertegenwoordigers van de Nederlandse overheid, voor een sessie met een Brits ministerie over thema’s die ook voor Nederland actueel zijn. Wij pitchen daar niets, maar brengen mensen aan tafel met experts en ervaringsdeskundigen om onderzoeksvragen en strategische keuzes te verrijken met praktijkinzichten. Wat zijn de valkuilen? Wat moet je niet doen? Welke keuzes kun je beter vermijden?”
Leren van peers
Dat werkt volgens hem goed. “Het
– maar omdat de voorkeur nu nog uitgaat naar contact binnen de overheid. Wellicht is dat iets om in de toekomst te heroverwegen. Er valt immers ook veel te leren van het bedrijfsleven. Kijk naar de bancaire sector: streng gereguleerd, procesmatig werken, met vergelijkbare uitdagingen. Toch merk ik dat er dan wat meer terughoudendheid is. Binnen vergelijkbare sectoren praat het in praktijk toch makkelijker.”
Zorgvuldigheid
Toch kan de overheid zeker leren van het bedrijfsleven. “En als daar goede ervaringen mee zijn, zal de openheid
ook toenemen. We zien nu al steeds meer publiek-private samenwerking.” Andersom kan het bedrijfsleven ook iets van de overheid leren. “Zeker als het gaat om de omgang met nieuwe technologieën zoals AI. Binnen de overheid zie je een enorme zorgvuldigheid. CISO’s worstelen met de vraag: hoe kunnen we technologie als AI veilig en compliant inzetten, in lijn met AVG en andere regelgeving? Terwijl gebruikers vaak al begonnen zijn met tools als ChatGPT, moeten organisaties nog een beleid ontwikkelen.”
Het bedrijfsleven lijkt hier vaak pragmatischer in: sneller naar adoptie, sneller naar de markt, sneller naar innovatie. “Maar daar zit ook een risico in. Want technologie ontwikkelt zich razendsnel – het is geen tienjarige cyclus meer. En de overheid wil daarin wel mee, maar op een verantwoorde manier.”
Risico’s
Het is een onderwerp waar hij veel gesprekken over voert. “Bijvoorbeeld met CISO’s van ministeries. Hetzelfde geldt voor geopolitieke spanningen en digitale soevereiniteit. Dat komt steeds dichterbij. Denk aan incidenten als iemand die uit zijn mailbox wordt gezet, of NGO’s die terughoudend zijn vanwege sanctierisico’s. Dit zijn geen
hypothetische scenario’s meer – het gebeurt.”
“Dan krijgen wij ook de vraag: hoe zit dat bij jullie? Wij bieden cloudoplossingen aan, maar ook on-premise en zelfs volledig air-gapped – dus totaal geïsoleerde implementaties. Dat betekent dat we in staat zijn om ook onder druk van geopolitieke ontwikkelingen leveringscontinuïteit te waarborgen. In een air-gapped scenario kunnen wij er zelf niet eens meer bij. Dat biedt klanten het vertrouwen dat zelfs als wij als Amerikaans bedrijf onder druk zouden komen te staan, hun omgeving buiten bereik blijft.”
Strategie
Dit raakt ook aan een bredere strategische benadering. “De druk op resources is zo groot, dat automatisering cruciaal wordt. Dat wordt versterkt door de opkomst van AI. Kijk bijvoorbeeld naar Microsoft Copilot. Wij werken daarin nauw samen met het team van Copilot om AI-gedreven werkprocessen mogelijk te maken. Stel: je hebt een omgeving met honderdduizend endpoints. Je stelt een vraag via Copilot: waar speelt een specifieke kwetsbaarheid? Binnen seconden krijg je een overzicht, inclusief aanbevelingen en de mogelijkheid tot actie.”
“Onze kracht ligt in dat real time datamodel. En dat combineren we met
automatisering en AI, zodat werkprocessen verkorten, mensen worden ontlast, en resources efficiënter worden ingezet. Daarbij kiezen wij bewust voor een partnermodel. Wij leveren technologie –geen marketing of volledige dienstverlening. Onze partners, zoals Capgemini of Orange Cyber Defense, implementeren en operationaliseren die technologie bij klanten. Dat geeft schaal en slagkracht.”
Verandervermogen
Hij besluit: “De vraag van onze klanten gaat allang niet meer alleen over technologie. Het gaat over het vermogen om voortdurend te kunnen veranderen. De snelheid waarmee alles verandert – van technologie tot regelgeving – vraagt om een organisatie die daarop ingericht is. Dat lukt alleen met de juiste systemen, processen en mensen.”
Daarom begint alles bij de basis. Zicht op je omgeving. Veel organisaties werken met tools die maar een deel van de werkelijkheid laten zien. Wij beginnen daarom altijd met detectie: welke assets zijn er die nog níet onder beheer zijn? Vaak blijkt dan dat het aantal endpoints veel hoger ligt dan gedacht. Dat is geen bijzaak, maar de kern. Zonder zicht, geen grip. En zonder grip kun je niet beveiligen, laat staan vooruitkijken. Dat is de essentie van wat wij doen.”
DIGITALE REGIE:
Hoe de overheid verantwoord innoveert met AI en cloud
In de Nederlandse publieke sector groeit de aandacht voor (generatieve) AI, datasoevereiniteit en digitale infrastructuur in hoog tempo. Overheden zoeken naar manieren om grip te houden op hun digitale toekomst. Tegelijkertijd ontstaat er ruimte voor innovatie, zegt Jean Jacques Kroesbergen, Business Lead bij Dell Technologies Nederland.
Data en AI zijn niet langer abstracte thema’s, zegt Jean Jacques Kroesbergen, Business Lead bij Dell Technologies Nederland. “Overheden zoeken naar concrete toepassingen, maar blijven terecht scherp op risico’s. De opkomst van generatieve AI zorgt voor nieuwe dynamiek. Binnen de overheid leeft de vraag niet alleen wat er mogelijk is, maar vooral wat er verantwoord is binnen de wettelijke kaders, zoals bijvoorbeeld de Europese AI Act en ook de AVG.”
Kroesbergen maakt daarin onderscheid tussen hoog- en laagrisico-toepassingen: “Een ziekenhuis kan bijvoorbeeld eenvoudig een Digital Human inzetten om patiënten in meerdere talen te begeleiden naar de juiste afdeling. Dat is laag risico, praktisch toepasbaar en bespaart personeelstijd.”
Ook gemeenten kunnen profiteren van zulke digitale interfacetechnologie. Informatie op gemeentelijke websites kan via een Digital Human toegankelijk worden gemaakt, waardoor inwoners eenvoudig antwoord krijgen op praktische vragen. “Je kunt een AI-systeem bouwen dat veilig en efficiënt werkt, zonder dat je direct met gevoelige gegevens hoeft te opereren”, zegt hij. In tijden van personeelskrapte – met name in zorg en IT – bieden zulke oplossingen uitkomst.
Digitale autonomie en geopolitiek
Naast AI is soevereiniteit een thema dat in snel tempo op de agenda is verschenen. De toegenomen geopolitieke onrust, met spanningen tussen wereldmachten, heeft geleid tot hernieuwde aandacht voor digitale onafhankelijkheid. “De wereld verandert sneller dan ooit. Door AI versnelt die verandering nog meer. In zo’n context zoeken overheden logischerwijs naar onafhankelijkheid en stabiliteit.”
Digitale soevereiniteit betekent onder meer het beschikken over eigen infra -
deel in Polen en Ierland en hebben een Europese footprint die groter is dan veel mensen denken.”
Breng de AI naar de data
Een technologie die aansluit bij dit streven naar controle en efficiëntie is federated data analytics. Daarbij worden AI-algoritmes naar de data gestuurd, in plaats van alle data te centraliseren in één groot datameer. “Je analyseert de data op locatie – in de cloud, aan de edge of in een datacenter – en combineert de resultaten. Dat is niet alleen efficiënter, maar ook duurzamer. Dell is
‘Wij hebben een Europese footprint die groter is dan veel mensen denken’
structuur, technologie zonder vendor lock-in en controle over dataopslag en -verwerking. “Je kunt soeverein zijn door je eigen datacenter te hebben, of door te kiezen voor technologie die je onafhankelijk houdt. Wij werken daarom met een breed ecosysteem van partners dat sovereign cloudoplossingen mogelijk maakt.”
Hoewel Dell Technologies een Amerikaans bedrijf is, onderstreept Kroesbergen nadrukkelijk de Europese impact: “Wij produceren voor een groot
toonaangevend op dit gebied met haar AI Factory.”
Deze aanpak sluit aan bij de toename van datavolumes door AI-toepassingen. De groei van generatieve modellen zorgt voor explosieve dataproductie, wat zowel een uitdaging als een kans vormt. “We moeten goed nadenken over de impact van onze technologie op het milieu. Daarom zetten we onder meer in op vloeistofkoeling van servers, waardoor het energieverbruik en de footprint van datacenters flink afnemen.”
AUTEUR MARCO VAN DER HOEVEN
Beveiliging: monitoring van de supply chain
Beveiliging is een aandachtspunt dat alleen maar urgenter wordt. “Wij monitoren de hele supply chain, van de fabriek tot aan de levering bij de klant. Zo kunnen we garanderen dat er onderweg niets met het apparaat is gebeurd. Voor overheden is dit een essentieel onderdeel van vertrouwen in onze technologie.”
Daarnaast worden brede en geïntegreerde beveiligingsoplossingen toegepast over het volledige productaanbod, met vaults, encryptie en detectie van cyberaanvallen als standaard. “Zeker voor overheden is het cruciaal om zeker te weten dat hun data veilig is, ook als ze gebruikmaken van AI oplossingen.”
Digitale besluitvorming
Wat hem eveneens opvalt in gesprekken met de publieke sector, is de roep om verantwoordelijkheid. Niet alleen van technologiepartners, maar ook van de overheid zelf. “De overheid beschikt over enorme hoeveelheden data, maar moet die wel goed classificeren en beheren. Je hoeft niet alle data maximaal te beveiligen – dat is kostbaar en vaak onnodig. Slim classificeren helpt bij het effectief beveiligen én beheersen van kosten.”
Volgens Kroesbergen is het daarom
belangrijk voor overheden om zelf regie te voeren over hun cloudomgevingen, software en datacenters. “Te vaak zie je dat er tijdelijke oplossingen worden ingezet met vaak ook externe (interim) managers, maar uiteindelijk moet er structurele eigen kennis en capaciteit zijn om verantwoordelijkheid te dragen.”
Samenwerking
Hij benadrukt het belang van een sterk ecosysteem. “Wij kunnen niet in ons eentje de hele markt bedienen. Onze partners van value added resellers tot integrators hebben de relatie met de klant. Zij brengen ons vaak aan tafel om samen het gesprek te voeren over AI, data en infrastructuur.”
Tijdens het recente Dell Technologies World werd dat partnerschap verder versterkt. “We willen dat partners het verhaal over de toekomst actief overbrengen aan klanten. We zien dat ze die verantwoordelijkheid ook echt nemen.”
Laagdrempelige toegang tot AI
Over de AI Factory van Dell zegt Kroesbergen: “Dat is een eenvoudige manier voor onze klanten om snel toegang te krijgen tot (generatieve) AI oplossingen. Zeker voor de publieke sector is dit belangrijk. We bieden daarin onder andere oplossingen voor servicedesks,
coding, digital twins, vision (camera’s) en Digital Humans, dus toepassingen die relatief laagdrempelig kunnen zijn en snel resultaat leveren.”
“In combinatie met hybride datacenteroplossingen – zowel on premise als cloudgebaseerd – en samenwerking met internationale partijen als Amazon, Google en Microsoft, maar juist ook met veel andere lokale Nederlandse partners, ontstaat er een flexibel landschap waarin de overheid kan opereren. “En als een overheidsorganisatie niet met hyperscalers wil samenwerken, dan zijn er altijd nog mogelijk heden voor een eigen datacenter.”
Balans
AI, data en hybride en souvereine cloud vormen dus het fundament van de digitale bestuurspraktijk. Daarbij is weliswaar voorzichtigheid geboden, maar mag innovatie niet worden vergeten. “AI is niet de heilige graal, maar de overheid moet er wel serieus mee aan de slag, inclusief een kritische blik, met oog voor wetgeving én maatschappelijke verantwoordelijkheid.”
“Met laagdrempelige oplossingen, samenwerking met betrouwbare technologiepartners en een duidelijke strategie rond dataclassificatie, beveiliging en duurzaamheid, kan de publieke sector effectief gebruikmaken van de kansen die AI en cloudtechnologie bieden. Want AI en generatieve AI kunnen uiteindelijk ook gaan bepalen hoe economische waarde en waarschijnlijk daarmee ook de machtsbalans in de wereld verdeeld wordt. En dat raakt direct aan onze welvaart. Daar moet je als overheid verantwoordelijkheid in nemen.”
Jean Jacques Kroesbergen
VAN VISIE NAAR DAADKRACHT:
Modernisering als Europese kans
Een van de thema’s tijdens het GovTech-diner op 17 juni was het gebrek aan Europese alternatieven voor big tech. Volgens Britt Hoppenbrouwers, Country Managing Partner bij Netcompany Nederland, biedt de huidige discussie een uitgelezen kans om een van de grootste knelpunten van de digitalisering van de Nederlandse overheid aan te pakken.
De Nederlandse overheid staat voor de grote uitdaging haar legacy IT-systemen te vernieuwen. De nieuwe Nederlandse Digitaliseringsstrategie is hiervoor een belangrijk vertrekpunt. Maar om echt het verschil te maken, is volgens Britt Hoppenbrouwers meer nodig dan alleen een visie op papier. Het vraagt om durf, daadkracht en nauwe samenwerking tussen de overheid en marktpartijen.
Hoppenbrouwers, die in haar twintig jaar bij de Rijksoverheid betrokken was bij diverse digitaliseringsprojecten, ziet een kans om twee grote uitdagingen tegelijk aan te pakken.
“Het is cruciaal dat we nu stappen zetten richting Europese digitale soevereiniteit,” stelt ze. “Door stevig in te zetten op publiek-private samenwerking met Europese marktpartijen, kunnen we onze ver-
‘We willen bijdragen aan het verbeteren van de dienstverlening van organisaties richting de burger’
ouderde legacy-systemen moderniseren én werken aan minder afhankelijkheid van niet-Europese technologie.Twee vliegen in één klap.”
Praktische uitdagingen
Legacy modernisering blijft een structureel probleem waar de overheid al jaren mee kampt. “Het gaat bijvoorbeeld om grote, robuuste systemen die essentieel zijn voor het uitkeren van geld aan burgers. Die systemen moeten gemoderniseerd worden, maar de uitvoering gaat traag.”
De wens om nu dingen echt anders te doen, leeft sterk bij de overheid, maar de praktische uitvoering blijft lastig. “De mindset is nu totaal anders dan twintig jaar geleden. De wil is er, maar de uitdagingen in de uitvoering zijn (te) groot. Iedereen weet dat de systemen vervangen moeten worden. Maar omdat ze zo kritiek zijn voor het functioneren van onze maatschappij, voelt het als een enorme verantwoordelijkheid dergelijke beslissingen te nemen.” Ze pleit voor meer lef, leiderschap en gedeelde verantwoordelijkheid met andere (private) partijen.
Leiderschap door publiek en private partijen
Hoppenbrouwers ziet dat er grote stappen zijn gezet rondom publiek-private samenwerking. Inmiddels is er meer bereidheid binnen de overheid om samen met de private sector op te trekken. “Er bestaat natuurlijk een verschil in dynamiek tussen de publieke en private sector. Publieke waarden worden niet uitsluitend door de overheid nagestreefd; ze kunnen ook gewaarborgd worden door partijen die al bewezen oplossingen bieden.”
“Gebruik belastinggeld op een verstandige manier. Ga niet twee jaar lang zitten brainstormen om zelf het wiel uit te vinden.” Ze benadrukt dat het niet gaat om standaardoplossingen zonder context, maar om het verantwoord inzetten van bestaande expertise om versneld tot resultaat te komen. “Verantwoorde digitalisering betekent voor ons ook: hergebruik daar waar het kan, en ga alleen opnieuw ontwikkelen als dat echt noodzakelijk is.”
Verantwoorde digitalisering
In haar rol bij Netcompany zet Hoppenbrouwers zich in voor die verantwoorde digitalisering. “We willen
AUTEUR MARCO VAN DER HOEVEN
Britt Hoppenbrouwers
niet verkopen om het verkopen. We willen verantwoordelijkheid nemen en bijdragen aan het verbeteren van de dienstverlening van organisaties richting de burger.” Daarbij verwijst ze naar het Deense model, waarin Netcompany een belangrijke rol speelde. “Denemarken scoort hoog op digitale dienstverlening aan burgers, mede dankzij onze bijdrage. Ik hoop dat we deze lijn ook in Nederland kunnen doorzetten.”
Netcompany heeft recent een transformatieve AI-tool gelanceerd, genaamd Feniks AI. De eerste resultaten uit Denemarken zijn veelbelovend en Hoppenbrouwers ziet dan ook potentie voor de Nederlandse overheid. “Bij de modernisering van een legacy-systeem moet er een afgebakende functionele vraag geformuleerd worden. Daar kun je AI perfect voor inzetten. Het kan helpen bij het analyseren van de bestaande systemen, het herkennen van elementen die hierin behouden kunnen blijven en het helpen met het genereren van nieuwe code, gebaseerd op huidige wet- en regelgeving. Dit alles in een veel kortere tijd, terwijl de huidige systemen blijven doordraaien.”
De mogelijkheden zijn groot. “Je hebt door het gebruik van AI veel sneller een fundament waarop je verder kunt bouwen. Als ex-CIO word ik daar echt enthousiast van. Ik kijk ernaar uit om deze aanpak vaker toe te passen.”
Lef als sleutel tot succes Hoppenbrouwers kijkt positief naar de toekomst. “Ik heb het idee dat overheden op verschillende niveaus meer met elkaar samenwerken. Niet meer: het Rijk doet dit en gemeenten doen dat, maar het gebeurt nu in samenspraak.” Ze hoopt dat Nederland in dat opzicht meer richting het Deense model kan bewegen. “Ook al hebben we het Huis van Thorbecke, misschien kunnen we daarin toch wat stappen zetten. En als we willen dat de digitale dienstverlening van de overheid toekomstbestendig wordt, is het zaak nu te investeren in modernisering, nóg meer samenwerking en verantwoorde inzet van technologie. Ik geloof dat we daar als Netcompany een waardevolle rol in kunnen spelen.”
ANNA VAN DEN BREEMER, EY
Digitale soevereiniteit vraagt om duidelijke visie
In de publieke sector staan vraagstukken als soevereiniteit, databeheer en de integratie van AI hoog op de agenda. In dit interview geeft Anna van den Breemer, AI & Digital Transformation Leader bij EY, haar visie op de digitale transformatie van de publieke sector.
Anna van den Breemer is nu zes maanden aan de slag bij EY, waar zij zich richt op digitalisering en de inzet van AI binnen de publieke sector. Een gebied waar ze goed in thuis is, want hiervoor heeft was bij Microsoft tien jaar lang verantwoordelijk voor de public sector-divisie.
Haar overstap naar EY was gemotiveerd door de wens om dichter op de uitvoering te zitten. “Ik wilde niet alleen strategisch meedenken, maar ook daadwerkelijk bijdragen aan het realiseren van waarde door technologie. Bij een vendor houdt het vaak op zodra het product is verkocht. Nu wil ik me bezighouden met wat er daarna gebeurt.”
Thema’s
Bij EY is Van den Breemer verantwoordelijk voor drie speerpunten. “Ten eerste drijf ik de technology agenda voor de publieke sector. Daarnaast leid ik het AI-Transformatieprogramma. Dat betekent enerzijds het stimuleren van interne adoptie van AI bij onze eigen medewerkers en anderzijds het ondersteunen van onze klanten, met name overheden, in hun AI-reis. Tot slot ben ik verantwoordelijk voor de samenwerking met Microsoft.”
Op de digitale overheidsagenda zijn er volgens Van den Breemer twee onderwerpen die er met kop en schouders bovenuit steken: digitale soevereiniteit en kunstmatige intelligentie. “Er is een groeiende roep om technologische onafhankelijkheid. Dat zie je onder meer
als reactie op wereldwijde spanningen, zoals de herverkiezing van Trump en de lessen die we geleerd hebben uit de coronacrisis.”
“We willen als land minder afhankelijk zijn van buitenlandse techreuzen en zelf ook een verdienmodel opbouwen. Daarvoor moeten we kennis in huis houden, start-ups en scale-ups faciliteren en zorgen dat ze hier perspectief krijgen in plaats van massaal naar het buitenland te vertrekken.”
Visie
Daarvoor is volgens haar een duidelijke visie nodig. “Zonder een nationale AI-infrastructuur blijft digitale soe -
op sommige gebieden al intelligenter dan mensen. Toch blijft de grootschalige adoptie, met name in de publieke sector, achter. Er wordt volop geëxperimenteerd en de grondhouding is positief: men wil ermee aan de slag. Maar het structureel inbedden van AI in primaire processen, inclusief een aangepast operating model en sourcingstrategie, dat is nog nauwelijks aan de orde.”
Europa
Tijdens het Govtech diner werd onder meer gesproken over meer investeren in Europese technologie. Ze pleit daarin voor een genuanceerde benadering. “We moeten onderscheid
‘AI-agents zijn ideaal voor het automatiseren van processen in overheidsdienstverlening, van beleidsontwikkeling tot burger-dienstverlening’
vereiniteit een papieren ambitie. We kunnen wel roepen dat we soeverein willen zijn, maar zonder een datacenterstrategie of oplossingen voor de netcongestieproblematiek gaan we het simpelweg niet redden. Er is leiderschap nodig. Dit zijn geen zaken die vanzelf tot stand komen.”
Het tweede grote onderwerp is uiteraard AI. Zij ziet AI niet als een trend die vanzelf overwaait, maar een fundamentele technologische verschuiving die de manier waarop organisaties opereren ingrijpend zal veranderen. “De ontwikkeling gaat razendsnel. AI is
maken tussen verschillende lagen van technologie. Aan de front end, bijvoorbeeld de werkplek, denk ik dat open source-oplossingen nu nog onvoldoende volwassen zijn voor grootschalige overheidsadoptie. De gebruikersacceptatie is laag, de kennis schaars en er is te veel versnippering. Daar moeten we werken met grote, schaalbare platformen.”
“Maar als we kijken naar de back end en de kritieke infrastructuur, is het een ander verhaal. Juist daar moet de overheid meer grip krijgen op data en zelf kunnen bepalen welke informatie waar
AUTEUR MARCO VAN DER HOEVEN
wordt opgeslagen. Voor bepaalde gevoelige datasets is het plaatsen in een eigen faciliteit gewoon noodzakelijk. En dat geldt ook breder: de overheid moet kunnen schakelen tussen platformen. Interoperabiliteit is hierbij het sleutelbegrip. Dat betekent uniforme afspraken maken over datatoegang en uitwisselbaarheid.”
Advies
EY helpt overheidsorganisaties onder andere door advies te geven over dergelijke inrichtingsprincipes. “Wij bepalen samen met onze klanten welke datasets strategisch zijn op basis van wet- en regelgeving, compliancy en strategische overwegingen. Ook begeleiden we in hoe je een soevereine infrastructuur opzet.”
AI blijft voor Van den Breemer een prioriteit. “Wat ik nu vooral zie, is dat er veel wordt geëxperimenteerd met toepassingen zoals Copilot of zelfgebouwde chatoplossingen. Ministeries ontwikkelen hun eigen interfaceachtige systemen. Dat is mooi, maar de echte waarde komt pas wanneer AI ingezet wordt in de kernprocessen van een organisatie, met zo min mogelijk menselijke instructie. Denk aan het automatiseren van analyses, dienstverlening of zelfs beleidsontwikkeling. Daar zijn we nog niet.”
Om dat gat te overbruggen, zet EY sterk in op bewustwording en strategie ontwikkeling. “We helpen organisaties begrijpen wat AI is, wat het verschil is tussen generatieve AI en andere vormen en wat de organisatorische implicaties zijn. Van processen tot mensen, van IT tot governance, het moet integraal worden aangepakt.”
AI Agent Lab
In dat kader is het ‘AI agent lab’ opgezet, een initiatief waarbij EY samen met klanten concreet aan de slag gaat met AI. Niet om nog meer te experimenteren, maar om samen met uitvoeringsorganisaties échte usecases te bouwen die daadwerkelijk verschil maken in kernprocessen.
“De mogelijkheid om het AI lab ook on-premise te draaien is een goede optie waarvan overheden nu graag gebruik maken omdat dit voor hen heel relevant is. Zo houden we volledige controle over onze data en bepalen we zelf waar gevoelige informatie wordt opgeslagen, maar testen ze ook de mogelijkheden van de technologie.”
Waarom specifiek agent technologie? “AI-agents kunnen autonoom complexe taken uitvoeren met minimale menselijke tussenkomst. Ze kunnen redeneren, plannen en verschillende
tools combineren om problemen op te lossen. Dit maakt ze ideaal voor het automatiseren van processen in overheidsdienstverlening, van beleidsontwikkeling tot burger-dienstverlening.”
“We werken samen met uitvoeringsorganisaties om usecases te ontwikkelen en daadwerkelijk te bouwen. Dan gaat het over echte processen met druk op productie, beperkte budgetten en capaciteitsproblemen. Daar kun je met AI echt het verschil maken.”
Wel ziet Van den Breemer valkuilen. “Wat je ziet is dat AI-initiatieven blijven hangen in pilots of proof-of-concepts. Het gebeurt in isolement, zonder verankering in de bredere organisatie. Dan mist het draagvlak om echt door te pakken. Een andere uitdaging is de zorgvuldige toepassing van AI. Verantwoord gebruik moet vanaf dag één ingebed zijn. Niet pas achteraf als het al draait. Dit zijn aspecten die we allemaal meenemen in de uitvoering.”
Impact
Wat haar uiteindelijk drijft, is impact. “Ik heb bewust gekozen voor EY: Bij EY leiden we de digitale transformatie van de publieke sector – niet vanaf de zijlijn, maar als strategische partner in de uitvoering.” In mijn ervaring draait het niet om winstmaximalisatie, maar om er samen voor te zorgen dat de publieke sector de juiste keuzes maakt. We hebben een nationale datacenterstrategie nodig, een oplossing voor netcongestie, een groene digitale infrastructuur, een AI-AI-transformatieprogramma, ondersteuning voor startups en digitalisering in het onderwijs. Als we dat goed inrichten, kunnen we zowel onze digitale soevereiniteit versterken als optimaal profiteren van de kansen van AI.”
Anna van den Breemer
PIETER MOLEN, TREND MICRO
Goede security zorgt voor weerbare overheid
De bedreigingen voor de IT-infrastructuur van de overheid nemen toe, onder meer door geopolitieke ontwikkelingen. Dat vraagt om een gedegen strategie voor cybersecurity. We spraken daarover met Pieter Molen van Trend Micro. “Cybersecurity is geen kwestie van lijsten afvinken, maar van continu inzicht, adaptief beleid en realistische dreigingsinschatting.”
Pieter Molen is ruim vijf jaar werkzaam bij Trend Micro, waar hij begon als Technical Director en sinds januari ook de rol van Country Director vervult. Deze combinatie stelt hem in staat om zowel inhoudelijk als strategisch bij te dragen aan de positionering van Trend Micro binnen de Nederlandse markt en in het bijzonder binnen de publieke sector. Zijn technische achtergrond vormt de basis voor een diepgaande visie op de ontwikkelingen in cybersecurity.
Volgens Molen sluit de werkwijze van Trend Micro goed aan op zijn innerlijke drive. “De organisatie ontwikkelt zich voortdurend en past zich aan de snel veranderende realiteit van cybersecurity aan. Binnen de overheid ziet hij dat cybersecurity inmiddels op alle niveaus aandacht krijgt – van technisch operationeel tot aan het algemeen management. “Wat opvalt, is dat er vaak nog behoefte is aan begripsvorming door de gehele organisatie: wat moet je doen, wat betekent het, hoe pak je het aan? Die vragen spelen net zo goed bij gemeenten als bij uitvoeringsorganisaties of ministeries.”
Wet- en regelgeving
De problematiek verschilt weinig van die in het bedrijfsleven: ook daar zijn risicobewustzijn, compliance en dreigingsinzicht actuele thema’s. “Maar de overheid werkt structureel met zeer gevoelige data – persoonsgegevens, vertrouwelijke beleidsinformatie, en
gegevens die van nationaal belang zijn – en dat vereist een fundamenteel andere benadering.”
Wet en regelgeving vormen daarbij een belangrijke context. Naast algemene privacywetgeving (zoals de AVG en de voormalige Wbp), worden overheidsinstellingen geconfronteerd met specifieke regels zoals de Wet beveiliging netwerk en informatiesystemen (Wbni) en de Europese NIS2 richtlijn. “Vooral die laatste is momenteel onderwerp van gesprek, mede vanwege het uitstel van invoering in Nederland. Dat is een gemiste
niet immuun voor dit soort aanvallen, al zijn commerciële organisaties vaker doelwit vanwege financiële motieven.”
Bij aanvallen door statelijke actoren ligt dat anders. “Die opereren onder de radar, met als doel zo lang mogelijk toegang te houden tot netwerken, zonder opgemerkt te worden. Het gaat hierbij om hooggeorganiseerde en goed gefinancierde aanvallers, afkomstig uit onder meer Rusland, Iran, Noord Korea en China. Daarbij wordt vaak niet alleen gekeken naar de overheid zelf, maar ook naar vitale sectoren zoals waterbeheer, energie
‘Echte veiligheid vereist continu inzicht in risico’s, kwetsbaarheden en dreigingen’
kans. Het kan de indruk wekken dat het niet belangrijk is, terwijl veel overheidsinstanties juist laten zien dat ze het wel serieus nemen.”
Dreigingen
Wat betreft dreigingen maakt Trend Micro onderscheid tussen twee hoofdcategorieën: aanvallen voor het financiële gewin, bijvoorbeeld via ransomware en aanvallen die primair als doel hebben informatie te vergaren vaak uitgevoerd door zogenoemde statelijke actoren. “Bij ransomware is de impact vaak onmiddellijk zichtbaar: systemen worden gegijzeld of er wordt gedreigd informatie te publiceren en er wordt losgeld geëist. De overheid is
en zorg. Informatie en infrastructuur zijn hier van strategisch belang.”
Aanvalsoppervlak
Het groeiende aanvalsoppervlak is volgens hem een grote uitdaging. Elke uitbreiding in de IT omgeving, variërend van werkplekken, externe verbindingen en IoT tot SaaS applicaties, cloud en AI, vergroot de potentiële toegang voor aanvallers. Daarnaast zijn er binnen de overheid nog veel legacysystemen in gebruik, die ooit als robuust en veilig zijn ontworpen, maar in de huidige context juist kwetsbaar zijn. Voeg daar het gebrek aan capaciteit en soms ook kennis in IT-teams aan toe, en het risicoprofiel wordt duidelijk.”
AUTEUR MARCO VAN DER HOEVEN
Hij ziet in gesprekken met overheidsCIO’s dat compliance vaak als einddoel wordt gezien, terwijl het slechts een beginpunt zou moeten zijn. “Er worden lijsten met maatregelen afgevinkt, maar dat leidt niet automatisch tot een veilige omgeving. Echte veiligheid vereist continu inzicht in risico’s, kwetsbaarheden en dreigingen.”
AI
Artificial Intelligence speelt een dubbele rol in het cybersecuritylandschap. Enerzijds wordt AI door Trend Micro zelf ingezet – met behulp van het eigen ontwikkelde model ‘Cybertron’ – om geavanceerde dreigingen beter te detecteren, sneller te reageren en analisten te ondersteunen. AI helpt bij het interpreteren van patronen, het herkennen van afwijkend gedrag en het voorspellen van aanvalspaden.
Anderzijds vormt AI ook een bedreiging. “Door de opkomst van generatieve AItools zoals ChatGPT is het voor kwaadwillenden eenvoudiger dan ooit om overtuigende phishingmails te genere -
ren of social engineering toe te passen.” Hij waarschuwt voor deze ontwikkeling, zeker binnen de overheid, waar regulering van het gebruik van generatieve AI belangrijk is. Zonder heldere kaders kunnen gevoelige gegevens ongemerkt via bijvoorbeeld prompts uitlekken.
Daarnaast zien we dat steeds meer organisaties hun eigen Large Language Models (LLM’s) opzetten die worden verrijkt met (vertrouwelijke) data vanuit de eigen organisatie. Net als bij elke applicatie is het belangrijk dat deze omgeving wordt beveiligd. Trend Micro ontwikkelt daarom oplossingen waarmee ook de AI gerelateerde security risico’s worden geadresseerd. “Prompts kunnen worden gefilterd op persoonsgegevens of andere gevoelige informatie, en het gebruik van AI-diensten kan gecontroleerd of beperkt worden. Daarmee krijgen organisaties grip op zowel de inzet van AI als op de veiligheid van hun eigen modellen.”
Partners
De rol van partners is voor Trend Micro
daarin cruciaal. “Zowel resellers als implementatiepartners zijn onmisbaar in onze dienstverlening aan de overheid. In sectoren die onder NIS2 vallen – zoals de energievoorziening, drinkwatersector en transport – groeit de vraag naar soevereine cloudoplossingen. Klanten willen controle over hun data, zonder afhankelijk te zijn van buitenlandse aanbieders of gedeelde infrastructuur.”
Trend Micro biedt daarom meerdere inzetmodellen: als volledige SaaSoplossing, in hybride vorm waarbij alleen het beheer in de cloud draait, en als volledig on-premises en soevereine oplossingen. “In zeer gevoelige omgevingen, zoals Defensie of vitale infrastructuur, wordt gekozen voor een fysiek afgescheiden omgeving, zonder enige vorm van externe verbindingen. In samenwerking met partijen als Nvidia bouwt Trend Micro aan veilige AI-infrastructuren die ook soeverein kunnen draaien – inclusief updates en detectiemodellen.”
Voorspellen
Een van de belangrijkste innovaties in het portfolio van Trend Micro is ‘attack path prediction’: het voorspellen van waarschijnlijke aanvalsroutes op basis van bekende kwetsbaarheden, configuratiefouten en gedragsgegevens. AI wordt ingezet om deze paden te identificeren, zodat gerichte preventieve maatregelen genomen kunnen worden. Dit is essentieel in een tijd waarin aanvallen binnen enkele minuten kunnen escaleren.
Molen besluit: “Cybersecurity is geen kwestie van lijsten afvinken, maar van continu inzicht, adaptief beleid en realistische dreigingsinschatting. De dreiging is permanent, veelzijdig en deels onzichtbaar. Met technologie, samenwerking en beleid kan de overheid zich weerbaar maken – maar dat vereist visie én actie. Het gaat er niet enkel om of je wordt aangevallen, maar of je het weet. En of je er iets mee doet.”
Pieter Molen