NARDIE SCHARENBORG, SSC-ICT: ’Met
ANDRÉ VAN DER LINDEN, ROYAL FLORAHOLLAND: ‘Schouder aan schouder voor goede cybersecurity’
MAARTEN VAN HAASTEREN, SCHIPHOL: ‘Met AI maken we Schiphol sneller en slimmer’
Laten we samen de ITarmoedegrens doorbreken
Het merendeel van de bedrijven wereldwijd zit onder de security-armoedegrens.’ Deze opmerking van Joe Levy, CEO van security-aanbieder Sophos (gebaseerd op een uitspraak van security-expert Wendy Nather), zette me aan het denken. Levy refereerde in een interview met ondergetekende aan een onderzoek van Sophos, dat bevestigde dat van de honderden miljoenen bedrijven wereldwijd – van enterprise tot onderkant mkb – slechts zo’n 32.000 een CISO (chief information security officer) of een vergelijkbare functionaris hebben. Kortom, zo’n 99 procent van alle bedrijven wereldwijd zit onder de cybersecurity-armoedegrens.
De beweegredenen van Sophos om elke onderneming in potentie toegang te bieden tot security-technologie én beleid (een CISO as-a-service) van enterpriseniveau, heeft natuurlijk een financiële component. Maar ik geloof dat Levy, al zijn hele leven werkzaam in cybersecurity, ook oprecht meent dat vendors hier een behoorlijke steek hebben laten vallen en dat daar verandering in moet komen.
Kloof blijft
Tegenwoordig lopen er geen IT-beheerders meer rond met de spreekwoordelijke schroevendraaier, maar wordt IT en security op afstand beheerd en via de cloud as-a-service geleverd. De kloof blijft echter bestaan tussen bedrijven die zich een cybersecurity- en weerbaarheidsstrategie kunnen veroorloven, en de grote meerderheid van organisaties die hoogstens transformeert van de fysieke firewall naar endpoint security uit de cloud.
In het licht van alle nieuwe security-dreigingen – versterkt door fout gebruik van AI-technologie en geopolitieke ontwikkelingen – is dat niet alleen onwenselijk: het is een regelrechte bedreiging van het voortbestaan van bedrijven, sectoren en ketens. Wetgeving zoals de Cyberbeveiligingswet (NIS2) voegt een extra dimensie toe. Je mag dan een klein bedrijf zijn, in de keten van toeleveranciers kan ook van jou doordacht security- en weerbaarheidsbeleid verwacht worden die verder gaat dan een firewall en endpoint security. Een CISO-as-a-service initiatief van vendors zoals, maar zeker niet alleen Sophos, is dan ook meer dan toe te juichen.
CIO-as-a-service
Als we dit extrapoleren naar IT en digitalisering als geheel, dan zouden we misschien moeten pleiten voor een CIO as-a-service. Want de IT-armoedekloof tussen een beperkt aantal organisaties op enterpriseniveau (en bij overheden en sectoren zoals de zorg) en de meeste andere organisaties is niet veel kleiner.
En het is echt niet alleen de eenpitter of het installatiebedrijfje die geen tijd of capaciteit heeft voor een digitale strategie. Voor de meeste ondernemingen gaat IT niet veel verder dan een overstap op Windows 11, diensten uit een cloud en het eerdergenoemde beheer op afstand. Nadenken over wat digitalisering, nieuwe technologie zoals gen-AI echt voor je kan betekenen, hoe je erdoor kan groeien, verbreden, betere producten of diensten kunt leveren – het is vaak een brug te ver (of een kloof te ver).
Samen digitaal transformeren
Kunnen we het aan de markt overlaten? Moeten we wachten tot er een goed verdienmodel zit in het worden van trusted advisor voor MSP’s en andere IT-aanbieders? Of een soort standaard dienst waarbij vrij simpel meegekeken en gedacht kan worden naar wat voor jouw organisatie de beste, meest efficiënte of kosteneffectieve manier is om digitaal te transformeren? Zeker in het licht van – alweer – de snelle veranderingen die gen AI kán betekenen – is het zaak hier niet eindeloos over te polderen. Maar enige sturing vanuit branche- en koepelorganisaties en overheden is zeker een goed idee om zo’n CIO-as-a-service echt vraag- en niet aanbodgestuurd te maken.
Het is nog geen twee minuten voor twaalf. Maar de mogelijkheden die ontstaan wanneer je van digitalisering naar echte digitale transformatie gaat, lijken me een goede reden om er nú mee aan de slag te gaan. Laten we samen de IT-armoedegrens doorbreken!
Martijn Kregting Hoofdredacteur Dutch IT Leaders m.kregting@dutchitleaders.nl
U kunt dagelijks nieuws, achtergronden en analyses vinden op ons platform www.dutchitleaders.nl en ons partnerplatform www.dutchitchannel.nl.
Voorwoord 3
Nardie Scharenborg, SSC-ICT 6
Met eigen AI-platform doet Rijksoverheid volop mee’
Michael Covington, Jamf 8
Jamf helpt overheden bij implementatie zero trust
Eugene Tuijnman, SLTN 10
‘IT relevanter dan ooit, uitdagingen blijven’
Maurice van Dorp, Netcompany Nederland 12
‘Digitale transformatie vergt doorvragen’
16
André van der Linden, Royal FloraHolland
6
Nardie Scharenborg, SSC-ICT
Maarten van Egmond, ServiceNow 14
Hoe technologie de overheid wendbaar maakt
André van der Linden, Royal FloraHolland 16
‘Schouder aan schouder voor goede cybersecurity’
Marc Hulzebos, Eurofiber 18
‘Veilige quantumnetwerken geen toekomstmuziek’
Steven Ottenhoff, MMOX 20
Goede cybersecurity vergt zien eigen blinde vlekken
22 HCSS, hybride oorlogsvoering
The Hague Centre for Strategic Studies 22
Hoe ga je hybride oorlogsvoering tegen?
Haider Pasha, Palo Alto Networks 24
AI-investeringen mislukken door gebrek cybersecurity
Maarten van Haasteren, Schiphol 26
‘AI maakt Schiphol sneller en slimmer’
Maarten van Haasteren, Schiphol
Patrick van de Coolwijk, Lenovo 28
‘Verantwoorde inzet AI essentieel voor overheid’
Fred Lherault, Pure Storage 30
‘Hybride benadering beste voor implementatie datasoevereiniteit’
COLOFON
Dutch IT Leaders
Nummer 38, 13e jaargang, november 2025
Dutch IT Leaders is een uitgave van Dutch IT Media
Kantoor en correspondentieadres: Nieuwe Parklaan 17, 2597 LA. Den Haag Adreswijzigingen: abonnement@dutchitmedia.nl
Verschijningsfrequentie 4 x per jaar Website: www.dutchitleaders.nl
Managing Director Peter Reyneveld p.reyneveld@dutchitmedia.nl
Telefoon: 06-11 884 784
Content Director & Founder Witold Kepinski w.kepinski@dutchitchannel.nl
Telefoon 06-410 03 906
Commercial Director Frans Vertregt f.vertregt@dutchitmedia.nl
telefoon: 06- 109 46 545
Hoofdredacteur Dutch IT Leaders
Martijn Kregting m.kregting@dutchitleaders.nl
Redactie
Jeroen Bordewijk, Wouter Hoe nagel, Marco van der Hoeven, Floris Hulsho Pol, Johan van Leeuwen, Eveline Meijer, Teus Molenaar,Hans Steeman
Social Media
X: @witoldkepinski X: @dutchitleaders
LinkedIn: linkedin.com/in/witoldkepinski
LinkedIn Redactie: nl.linkedin.com/company/dutch-it-channel Facebook: www.facebook.com/dutchitchannel/ Instagram: https://www.instagram.com/kepinski/
Vormgeving
iMediate, Tim van den Berg
Drukwerk
Damendrukkers, Werkendam
Deze uitgave is met de grootste zorg samengesteld. Desondanks kunnen er (druk) fouten of onvolledigheden in voorkomen. Hiervoor aanvaardt de uitgever geen enkele aansprakelijkheid. Overname van artikelen na goedkeuring van Dutch IT Media BV
NARDIE SCHARENBORG, SSC-ICT:
‘ Met eigen AI-platform kan Rijksoverheid weer volop meedoen’
Shared servicecentrum SSC-ICT heeft een hectische periode achter de rug. Politieke ontwikkelingen rondom Rijkscloudbeleid en een nieuwe werkplek voor 58.000 rijksambtenaren, nieuw AI-beleid, een nieuwe regering in 2024 en de val van het kabinet Schoof in 2025 hadden zo hun impact op SCC-ICT als vaste ICT-leverancier voor negen rijksdepartementen. Op AI-gebied heeft de organisatie inmiddels flinke slagen gemaakt. Met het dit voorjaar officieel gelanceerde AI-platform vlam (veilige lokale AI-modellen) wil SCC-ICT veilig en compliant elk departement de mogelijkheid bieden om binnen het geldende beleid (generatieve) AI zo optimaal mogelijk in te zetten, vertelt CTO/CIO Nardie Scharenborg. “We zijn misschien niet de meest innovatieve club, maar beseften wel: hier moeten we op voorsorteren.”
AUTEUR MARTIJN KREGTING
Het is pas een paar jaar geleden dat ChatGPT werd gelanceerd en binnen weken evenveel gebruikers kreeg als internet in enkele jaren en de smartphone in enkele maanden. Generatieve AI heeft inmiddels een enorme vlucht genomen en wordt voor allerlei zaken gebruikt in alle lagen en niveaus van het bedrijfsleven en de samenleving. Binnen de Rijksoverheid wordt er echter heel kritisch en voorzichtig met generatieve AI toepassingen omgegaan, mede omdat er absoluut geen data van de Rijksoverheid naar de publieke cloud mag – vaak geleverd door aanbieders met het hoofdkantoor in de VS. De al aanwezige voorzichtigheid versus Amerikaanse technologiebedrijven is met de onvoorspelbaarheid van de regering Trump nog meer gegroeid. “En als je een AI toepassing gebruikt, doe je in feite niets anders dan data in zo’n toepassing opslaan die dan misschien in een publieke cloud belanden”, stelt Scharenborg. “Wij mogen dus niet op deze manier large language models gebruiken. Binnen de Rijksoverheid is het dan sinds januari
2025 ook formeel niet toegestaan om met ChatGPT of Copilot – dat in Microsoft toepassingen zit – te werken.” Maar, vervolgt Scharenborg: “Wij zijn een partij die ICT levert aan negen ministeries en daarnaast Rijksbrede IT diensten levert. Daar hoort ook een AI infrastructuur bij. We zijn misschien niet de meest innovatieve club, maar beseften wel: hier moeten we op voorsorteren. Dus zijn we een jaar geleden aan de slag gegaan met het ontwikkelen en bouwen van een lokaal AI platform, waar ministeries die een eigen AI model willen gebruiken, op kunnen landen.”
Lancering vlam
Dit resulteerde in mei 2025 in de officiële lancering van vlam: veilige lokale AI modellen. De dienst draait veilig in het overheidsdatacentrum (ODC) van SSC ICT. Bovendien is alles gebaseerd op open source of afkomstig van Europese leveranciers, zodat er geen afhankelijkheid is van leveranciers buiten Europa. Alles is ontwikkeld met behulp van Nederlandse AI aanbieders. De dienst bestaat uit drie elementen:
• Een chatfunctie vergelijkbaar met ChatGPT en soortgelijke toepassingen, maar dan gevoed met data en prompts die niet verder komen dan het eigen datacenter.
• Een API (Applicatie Programming Interface) die een koppeling biedt tot de modellen die klanten willen gebruiken.
• Search: het snel en effectief kunnen doorzoeken van al die miljoenen overheidsdocumenten.
Scharenborg stelt dat er al veel enthousiasme bestaat bij de diverse ministeries, waarvan Binnenlandse Zaken en Koninkrijkrelaties launching customer is. Er lopen al zo’n 50 pilots en use cases, zoals een digitale assistent om archieven te doorzoeken. Vanaf 2026 kan SSC ICT de dienst vlam chat breder gaan aanbieden aan alle ministeries van het Rijk, ook buiten de negen ministeries die SSC ICT op dit moment bedient.
Secure en compliant by design
De CTO/CIO benadrukt dat vlam zelf geen LLM is, maar een platform. “Toepassingen ontwikkelen de ministeries
op basis van hun behoeften. Wij ondersteunen dat dergelijke toepassingen via vlam op een veilige en makkelijke manier kunnen landen en dat die toepassingen makkelijk geschaald kunnen worden, en compliant- en secure by design zijn. Compliance is heel belangrijk, temeer daar je wilt voorkomen dat een AI-toepassing gaat hallucineren of discrimineren, zoals je zo vaak hoort.
Wij hebben een raamwerk om ministeries te ondersteunen met het compliance vraagstuk, want alleen dan kan zo’n AI-toepassing bij ons landen.”
Verder wordt er geprioriteerd welk soort AI-toepassingen het eerst gaan landen op de vlam-infrastructuur. Om te inventariseren waar de meeste behoefte aan is, heeft SSC-ICT na de eerste lancering een mailbox geopend waar ideeën of verzoeken heen toe kunnen worden gestuurd. Verder is geïnventariseerd welke use cases er al waren.
“Als iedereen een AI-toepassing wil om archiefstukken te doorzoeken, dan gaan we daar met prioriteit mee aan de slag”, geeft Scharenborg als voorbeeld.
Opschalen
Van de pilots leren SSC-ICT en haar partners ook over optimaal opschalen. Een pilot bij Binnenlandse Zaken en Koninkrijkrelaties bijvoorbeeld, maakte duidelijk hoe men het beste kan opschalen naar 5.000 gebruikers en daarna 10.000 gebruikers. “We zullen in het ODC ook moeten opschalen met de benodigde hardware om
dit te ondersteunen. Deze pilots geven aan hoe dit het beste kan. En dat is niet gewoon voor 10 miljoen euro aan hardware neerzetten en kijken hoe het dan verder gaat. We zitten regelmatig met Nvidia en andere hardwareleveranciers om tafel om de trends die we verwachten het beste te vertalen naar de mate van opschaling in ons ODC en de bijbehorende tijdslijnen.”
Weinig verrassingen
Zo’n 80 procent van de opgehaalde use cases stemde redelijk overeen met de scenario’s die SSC-ICT vooraf met relevante stakeholders en kennispartners heeft opgesteld. Zo is het automatiseren van het doorzoeken van documenten voor een WOO-verzoek (Wet Open Overheid, red.) een must voor elk ministerie. Momenteel kunnen voor één WOO-verzoek tot zes juristen een half jaar bezig zijn. “Soms zijn er ook toepassingen die we niet hadden verwacht”, schetst
Scharenborg. “Zo heeft het Rijksvastgoedbedrijf, beheerder van overheidsgebouwen, een slimme AI-toepassing bedacht voor inkoopprocessen. Zo’n toepassing hadden we bij SCC-ICT nooit zelf kunnen bedenken, omdat we niet in die wereld zitten. Er is nog wel zo’n 20 procent aan dergelijke verrassingen. Momenteel zijn we een soort de facto makelaar van use cases geworden, maar straks zal dat iets zijn dat de CIO Rijk logischerwijze centraal gaat of door anderen laat oppakken.”
Toekomstvast en flexibel
Vlam is op beleidsgebied toekomstvast, benadrukt Scharenborg. “Wet- en regelgeving zal waarschijnlijk strenger worden. Denk bijvoorbeeld aan de AI Act en het Rijksstandpunt generatieve AI. We hebben twee compliance-juristen in dienst die niets anders doen dan dit soort regulering in de gaten houden, maar ook de soms wat vage beleidskaders interpreteren en concretiseren, zodat we daar altijd 100 procent aan voldoen. Ook secure by design is een must. We gaan, als vlam eenmaal draait, via ons SOC aan security operations monitoring doen. Zo werken we volgens het boekje en zijn we aantoonbaar compliant.”
Ook als het gaat om de politieke winden is vlam flexibel genoeg, stelt Scharenborg tot slot. “Die wind kan altijd draaien. Ik sluit niet uit dat we over een paar jaar weer meer mogen met de publieke cloud. Onze architectuur-principes zijn zodanig ontwikkeld, dat we bij wijze van spreken binnen een dag kunnen opschalen richting zo’n publieke cloud. Vlam kan dan gewoon secure en compliant-by-design in een publieke cloud draaien, mocht dat op een gegeven moment weer toegestaan zijn. We hebben geleerd om op nieuw beleid en draaiende winden voorbereid te zijn.”
OVER SSC-ICT
SSC-ICT is een van de grootste ICT-dienstverleners binnen het Rijk. De ICT-organisatie telt zo’n 1.400 medewerkers en levert centraal georganiseerde ICT-diensten zoals werkplekomgevingen aan zo’n 58.000 rijksambtenaren van 9 ministeries: Binnenlandse Zaken en Koninkrijksrelaties, Buitenlandse Zaken, Financiën, Infrastructuur en Waterstaat, Justitie en Veiligheid, Sociale Zaken en Werkgelegenheid, Volksgezondheid, Welzijn en Sport, Asiel en Migratie, en Volkshuisvesting en Ruimtelijke Ordening. SSC-ICT heeft als missie bij te dragen aan de verdere digitale versnelling van het Rijk en een digitaal soevereine overheid.
Nardie Scharenborg
MOBIELE VEILIGHEID IN DE PUBLIEKE SECTOR
Jamf helpt overheden bij de implementatie van zero trust
Nu mobiele technologie steeds vaker wordt ingezet binnen overheidsorganisaties, groeit de urgentie om apparaten, applicaties en data beter te beveiligen. Dutch IT
Channel en Dutch IT Leaders sprak met Michael Covington, Vice President Portfolio
Strategy bij Jamf, over de vraag hoe mobiele beveiliging evolueert en waarom zero trust een essentieel onderdeel is geworden van het IT-beleid in de publieke sector.
AUTEUR MARCO VAN DER HOEVEN
“
Apple computers winnen duidelijk terrein in de publieke sector, vooral in de Benelux,” zegt Michael Covington. “Maar de sterkste groei zien we als Jamf bij het gebruik van mobiele technologie. Mobiel is per definitie platform overschrijdend. Het gaat dan vooral om iOS en Android, maar ook om tablets, wearables en nieuwe apparaten zoals Apple Vision Pro. Ze veranderen fundamenteel hoe mensen werken.”
Volgens Covington worstelen veel organisaties nog met het op een gestructureerde manier beheren van mobiele apparaten. “Het gebruik van mobiel voor kritische processen waar vertrouwelijk informatie wordt
‘Mobiele technologie verandert fundamenteel hoe mensen werken’
gebruikt, zoals bij handhaving, is relatief nieuw. Er is een duidelijke leercurve. Veel overheden staan pas aan het begin van hun professionaliseringsslag.”
Zichtbaarheid en controle
Een belangrijke uitdaging is volgens hem zichtbaarheid. “Overheden realiseren zich steeds beter hoeveel gevoelige data via mobiele apparaten wordt verwerkt. Maar ze hebben vaak nog onvoldoende inzicht in wat er precies op die endpoints gebeurt. Dat is waar onze technologie helpt: wij geven organisaties de middelen om controle te krijgen over hun mobiele landschap.” Jamf is vooral bekend van zijn specialisatie op Apple-technologie, en ondersteunt vanaf 1 juli ook Android. “We bieden beheermogelijkheden op beide
platformen. Organisaties kunnen zelf bepalen welke functies ze toestaan of blokkeren — inclusief AI-functionaliteit zoals Apple Intelligence.”
Datagrensoverschrijdend werken
Een belangrijke ontwikkeling is de toegenomen aandacht voor datasoevereiniteit en ‘sovereign cloud’oplossingen, met name in Europa. “Mobiele apparaten werken anders dan traditionele werkplekken. Ze maken standaard verbinding met publieke infrastructuur zoals mobiele netwerken en Wi-Fi,” legt Covington uit. “Daarom is het niet realistisch om ze volledig af te sluiten van de cloud. In plaats daarvan denken organisaties nu beter na over waar hun data staat en hoe die wordt verwerkt.”
Hierdoor groeit de belangstelling voor containeroplossingen. “Android was hierin een voorloper met werkprofielen. Apple volgt inmiddels met een vergelijkbaar concept. Met die benadering zien overheden mobiele apparaten steeds vaker als een verzameling beheersbare componenten, waarin gevoelige informatie veilig moet blijven.”
AI en mobiele beveiliging
Ook kunstmatige intelligentie speelt een steeds grotere rol in gesprekken over mobiele beveiliging. “Vrijwel elk mobiel besturingssysteem bevat tegenwoordig AI-componenten. Dat roept vragen op bij klanten: hoe wordt data verwerkt? Wat mag wel en niet?”
“Wij bieden instellingen daarvoor controlemechanismen. Daarnaast passen we zelf AI toe in onze producten, bijvoorbeeld in de vorm van slimme assistenten die gebruikers sneller op weg helpen met best practices, supportinformatie en inzichten uit onze gebruikersgemeenschap.”
Partner-ecosysteem
Jamf werkt bij het leveren van deze oplossingen intensief samen met partners. “We zijn een channelorganisatie. Partners introduceren onze oplossingen bij de eindklant, begeleiden de implementatie en blijven bij projecten betrokken om de waarde op lange termijn te realiseren,” aldus Covington.
“Educatie is daarbij essentieel. We trainen partners niet alleen in productkennis, maar ook in actuele dreigingen. Zo zorgen we dat zij klanten op een realistische en feitelijke manier adviseren, zonder onnodig angst te zaaien.”
Achterstallige updates
Hoewel er veel aandacht is voor geavanceerde dreigingen, liggen de grootste risico’s voor organisaties vaak in hun eigen basis. “Uit ons eigen onderzoek blijkt dat meer dan vijftig procent van de mobiele apparaten draait op een verouderd besturingssysteem met bekende kwetsbaarheden. Dat is zorgwekkend.”
“Lange tijd was het installeren van updates een verantwoordelijkheid van de gebruiker. Pas sinds kort kunnen beheerders via beleidsregels afdwingen dat updates eerst worden uitgevoerd voordat het apparaat verder wordt gebruikt. Dat is essentieel voor een veilige basisconfiguratie.”
Phishing blijft de meest voorkomende externe dreiging. “Op mobiel is phishing vijftig procent succesvoller dan op desktop. Overheidsorganisaties zijn zich hier terdege van bewust. Ze vragen ook expliciet naar smishing en phishing via niet-traditionele kanalen.”
Gerichte spyware is in opkomst. “Deze aanvallen zijn
‘Het begrip Zero Trust wordt al jaren gebruikt, maar krijgt nu echt inhoud’
zeer gesofisticeerd en richten zich vaak op individuele doelwitten binnen de publieke sector. De aanvallers investeren veel tijd en geld om unieke kwetsbaarheden uit te buiten.”
Zero trust
Een van de meest besproken thema’s bij overheden is volgens Covington zero trust. “Het begrip wordt al jaren gebruikt, maar krijgt nu echt inhoud. In Nederland zien we dat overheidsorganisaties concrete stappen zetten in de implementatie ervan.”
“Zero trust betekent voor ons dat alleen geautoriseerde gebruikers op vertrouwde apparaten toegang krijgen tot gevoelige systemen. Mobiele apparaten zijn bij uitstek geschikt voor deze aanpak, omdat ze vaak nog niet vastzitten aan legacy-omgevingen. Er is ruimte om het goed aan te pakken vanaf het begin.”
“Recent ontdekten we dat bijna vijf procent van alle Android-apparaten met bekende kwetsbaarheden toch toegang hadden tot kritieke systemen. Die inzichten helpen organisaties om gerichter risico’s te reduceren.”
Samenwerking
Covington ziet positieve ontwikkelingen in hoe beveiligingsprojecten binnen de publieke sector worden aangestuurd. “We zien dat de CISO nu vaker mobiliteitsspecialisten, operations-teams en beleidsmakers samenbrengt. Dat leidt tot een gezondere balans tussen productiviteit en veiligheid.”
Hij pleit ook voor kruisbestuiving tussen de publieke en private sector. “Bedrijven kunnen leren van de discipline en strikte beleidsvoering bij de overheid. Tegelijkertijd kan de publieke sector profiteren van de gebruiksvriendelijkheid en flexibiliteit die in het bedrijfsleven gangbaarder zijn. Die combinatie zou zorgen voor een beter draagvlak bij eindgebruikers.”
Mobiele beveiliging is in hoog tempo uitgegroeid tot een cruciale bouwsteen van digitale soevereiniteit en moderne overheidsinfrastructuur. Covington besluit: “Overheden, met name in de Benelux, benaderen ons nu expliciet met vragen over hoe zero trust kan worden toegepast op mobiel. Ze kijken vooruit. En dat is precies waar op dit moment de meeste innovatie plaatsvindt.”
Michael Covington
SLTN BOEKT RECORDJAAR:
‘ IT is relevanter dan ooit, maar uitdagingen blijven’
Hilversum, 9 september. Op de SLTN Back to Business BBQ gingen we in gesprek met Eugene Tuijnman. Na een recordjaar voor SLTN kijkt eigenaar en directeur
Eugene Tuijnman met trots terug op de groei van zijn organisatie. Met meer dan 700 medewerkers is SLTN breed vertegenwoordigd in de Nederlandse samenleving.
Tegelijkertijd ziet hij ook drie duidelijke uitdagingen aan de horizon, die van invloed zijn op de markt en het ondernemersvertrouwen.
W‘Wat me zorgen baart, zijn de internationale verhoudingen’ “
e hebben een absoluut topjaar achter de rug,” begint Eugene Tuijnman enthousiast. “We zijn inmiddels met meer dan 700 mensen en ruim 300 miljoen euro omzet. SLTN is actief in bijna alle sectoren: van overheid, (rijksoverheid, semioverheid en veel gemeentelijke instanties), healthcare (ziekenhuizen en zorginstellingen), finance (banken en verzekeraars), industrie en zakelijke dienstverlening. Dat is mooi om te zien. Niet alleen voor onze technologische dienstverlening, maar ook voor onze expertise in data en applicaties. Daar ligt echt onze kracht.”
Tuijnman benadrukt dat de relevantie van IT in alle sectoren alleen maar toeneemt. “Er is tegenwoordig vrijwel niets meer zonder IT-component. Dat is goed
snelheid waarmee technologie zich ontwikkelt is gigantisch,” legt hij uit. “Neem agentic AI, een vorm van workflow-AI, waarbij je werkt met ‘als dit, dan dat’-scenario’s. Die ontwikkeling gaat sneller dan veel mensen denken, en dat vraagt veel van onze mensen en klanten.”
De tweede uitdaging is geopolitiek van aard. Tuijnman: “Wat me zorgen baart, zijn de internationale verhoudingen. Als je ziet wie er onlangs samen op het wereldtoneel stonden, Xi, Modi, Poetin en Kim Jong-un, dan hebben we het over een aanzienlijk deel van de wereldbevolking dat zich lijkt af te keren van het Westen en dat gaat zeker impact geven. Amerika wordt hierdoor minder populair, en geopolitieke spanningen zorgen voor economische onzekerheid. Onzekerheid leidt tot terughoudendheid in bestedingen, en dat gaan wij hier in Nederland ook merken.”
nieuws voor ons en voor onze branche. Cybersecurity bijvoorbeeld, de groeiende onrust daar zorgt voor veel vraag naar onze diensten. Natuurlijk is dat business, maar het is ook uitdagend.”
Drie grote uitdagingen
Ondanks het succes ziet Tuijnman duidelijke uitdagingen voor SLTN en de IT-sector in brede zin. De eerste ligt op het gebied van technologieontwikkeling. “De
Ten slotte noemt hij de binnenlandse politieke situatie als derde zorgpunt. “De instabiliteit van het Nederlandse kabinet helpt niet mee. Denk aan de discussie over de expatregeling, het stikstofdossier, het tekort aan stroom en woningbouw; het zijn allemaal factoren die zorgen voor onzekerheid bij ondernemers en internationale partijen die zich hier willen vestigen. En die onzekerheid leidt tot minder daadkracht en dus economische bestedingen.”
Blik op de toekomst
Toch blijft Tuijnman optimistisch. “Juist in uitdagende tijden groeit de behoefte aan betrouwbare IT-part-
AUTEUR PETER REYNEVELD
ners,” zegt hij. “Organisaties hebben meer dan ooit behoefte aan technologie die niet alleen werkt, maar ook meegroeit met hun ambities en bestand is tegen externe schokken. Denk aan geopolitieke spanningen, veranderende wet- en regelgeving, economische onzekerheid of de razendsnelle opkomst van nieuwe technologieën zoals AI.”
Volgens Tuijnman ligt de sleutel in continuïteit, schaalbaarheid en vertrouwen. “Bedrijven willen kunnen rekenen op partners die de complexiteit begrijpen en proactief meedenken, in plaats van alleen reactief te handelen. De tijd van eenmalige implementaties is voorbij. IT is nu een strategisch fundament. Daarom is het van cruciaal belang dat je samenwerkt met partijen die de lange termijn overzien en zowel technische diepgang als brede marktkennis in huis hebben.”
‘Juist in uitdagende tijden groeit de behoefte aan betrouwbare IT-partners’
SLTN ziet daarin een duidelijke rol voor zichzelf en hun partners. “Onze brede vertegenwoordiging in de markt, gecombineerd met diepgaande expertise, zorgt ervoor dat we goed gepositioneerd zijn,” aldus Tuijnman. “Maar we moeten wel scherp blijven op de voortdurende ontwikkelingen, technologisch, politiek én economisch zowel nationaal als internationaal.
Alleen dan kunnen we onze klanten duurzaam ondersteunen en écht waarde blijven toevoegen.”
MAURICE VAN DORP, NETCOMPANY:
‘ Digitale transformatie vergt doorvragen naar uitdagingen en ambities’
Het inzetten van IT is relatief makkelijk: je kunt er efficiency mee verbeteren, of productiviteit mee verhogen. Maar wanneer je dat doet zonder eerst te kijken naar de werkelijke vragen en behoeften van een organisatie, zul je nooit een digitale transformatie realiseren. En juist zo’n transformatie is nodig, wil je als organisatie meegroeien en -veranderen met trends en ontwikkelingen in jouw markten, meent Maurice van Dorp, partner bij Netcompany Nederland.
AUTEUR MARTIJN KREGTING
Van Dorp maakt zijn visie meteen duidelijk: hij gelooft heel erg in creativiteit, ook in IT en ook in het werk van Netcompany in de publieke en private sector. “Zeker in het licht van alle uitdagingen die wij zien. Weet je, processen optimaliseren en efficiënter maken, dat kan technologie prima. Maar om echt vooruitgang te boeken, heb je meer nodig. Dat probeer ik intern en naar onze klanten toe uit te dragen.”
Dat vertaalt Netcompany ook in zijn aanpak. De kracht van creativiteit zit niet in herhaling. Natuurlijk, ziet
Van Dorp, zit er zeker veel kracht in repeterende zaken, in een vergelijkbare aanpak. “Maar het echte verschil tussen bestaande zaken optimaliseren
en echte innovatie, echte vooruitgang, is het verschil tussen digitalisering en digitale transformatie.”
Digitalisering versus digitale transformatie
Met digitalisering kan je als organisatie grote stappen zetten, weet Van Dorp: bijvoorbeeld door met AI te automatiseren en mensen vrij te spelen voor zaken die er echt toe doen. “Wil je echt veranderen, echt zaken anders doen – transformeren - dan moet je hele organisatie daarin meegaan. De cultuur, de mindset, talentontwikkeling, leiderschap, governance én IT moeten samen die stap zetten. En dan nog staat niet digitale transformatie voorop: die moet volgen uit het bepalen
TIPS VOOR DIGITALE TRANSFORMATIE
Waar organisaties altijd op moeten letten wanneer ze goed willen transformeren:
• Krijg helder wat je uitdaging is, waar je heen wilt.
• Betrek hier vroeg partners bij die in de transformatie kunnen meedenken. Blijf zelf bij je core business.
• Wees bereid om verder te kijken dan digitalisering, durf de hele organisatie mee te laten veranderen. Een digitale transformatie start je niet van de ene dag op de andere, je organisatie is namelijk altijd in beweging.
• En vooral: heb de moed om verandering door te zetten, ook als het lastig wordt, ook als het tijd en energie kost. Het is geen kwestie van wat IT invoeren, maar een kwestie van lange adem om te komen waar je wilt komen.
van je richting en het doel hiervan.”
Van Dorp beseft goed dat ook digitale transformatie inmiddels een buzzwoord is. Sterker nog: eigenlijk is een bedrijf altijd in transformatie. “Bijna geen enkel bedrijf doet 10 of 20 jaar hetzelfde. Dat digitale hebben we eraan vastgeplakt omdat digitale technologie voor een versnelling zorgt.” Waar het bij digitale transformatie volgens Van Dorp echt om gaat, is dat Netcompany niet direct een oplossing naar voren schuift, maar een gesprek aan wil gaan door het stellen van de juiste vragen. “Zo komen we erachter wat een klant drijft, wat hun core business is, hun businessmodel, de uitdagingen. Dan kan het zomaar zijn dat het veel meer gaat om je cultuur veranderen, hoe je organisatie is opgebouwd. Ergens zul je altijd wel digitale technologie kunnen inzetten om een verandering hier te ondersteunen, te verbeteren, te versnellen. Maar de basis is dat gesprek.”
Doorprikken
Zo’n gesprek houdt ook in dat je bestaande uitgangspunten doorprikt. Zoals het geloof van elk bedrijf dat ze uniek zijn in wat ze doen. Als je doorvraagt, blijkt het iets te zijn dat veel bedrijven doen. Procesafhandeling, verduurzaming, dataopslag en archivering, etc. Maar hun context, intern en extern, zoals het soort sector, die is vaak wel specifiek.
“Je moet beide kanten goed in kaart brengen, wil je een klant echt helpen”, benadrukt Van Dorp. “Anders ga je wat IT naar binnen fietsen om processen te ondersteunen, en heb je aan het einde nauwelijks meerwaarde, op wat verbetering of versnelling van bestaande processen na.”
Ook moet vaak het idee doorgeprikt worden dat transformatie een zaak van IT is. Dat is waar een gesprek over transformatie vaak in verzandt, zeker omdat de nadruk de afgelopen jaren zo op dat punt ligt. Van Dorp merkt dat ook in gesprekken met beslissers in organisaties.
“Dan vraagt men toch weer om een AItool om uitdagingen mee op te lossen of ambities te vervullen. Men kijkt naar de markt en denkt: we moeten nu iets met data, we moeten nu iets met AI. Ik probeer zelf en vraag dat ook van mijn medewerkers, om stoïcijns door te vragen naar het echte probleem , de echte ambitie. Juist met zo’n aanpak krijgen we uiteindelijk echt tractie. Klanten vinden het ook prettig dat er niet na drie maanden een contract moet liggen, maar dat we zo nodig een half jaar lang het gesprek voeren om te achterhalen wat een klantvraag echt drijft. Om daarna snel te kunnen schakelen in de vervolgstappen.”
Zorgvuldigheid voorop
Kortom: in elk aspect van de aanpak om tot digitale transformatie te komen,
staat zorgvuldigheid en doorvragen voorop. Zorgvuldig te werk gaan om uiteindelijk tot een aanpak te komen waarin je als externe partij kennis over het soort cultuur en werkveld combineert met de unieke elementen van een klant. Van Dorp: “Dat is waar wij ons onderscheiden: wij leveren geen IT-tool, wij helpen een organisatie verder.”
Kritiek moet daarbij niet geschuwd worden: op je aanpak als IT-aanbieder, op je klant. “Mensen zijn bekend met de term warme zakelijkheid, maar soms moet je ook harde zakelijkheid tentoonspreiden. Door durven vragen, aangeven wanneer je denkt dat het toch anders zit. Dat vinden gesprekspartners niet altijd prettig, maar daarmee kom je wel tot de kern. Doe je dat niet, ga je gewoon mee in wat men denkt te willen, dan eindig je vaak toch weer met een IT-project dat de geplande kosten of duur overschrijdt.”
Dat verbaast Van Dorp: zo vaak gaat het al bij de uitvraag mis. “En dan achteraf met zijn allen moeten zeggen ‘Dat gaat ‘m toch niet worden’. Terwijl je misschien met drie gerichte vragen tot een veel beter resultaat had kunnen komen.”
Uitdagingen en problemen
Welke uitdagingen of problemen komt Van Dorp vaak tegen? Hij somt er een paar op:
• Dat de governance niet goed ingericht is. Te weinig, of juist te veel –wat bedrijfsvoering traag maakt.
• Het ontbreken van moed om iets te laten gaan als het niet werkt. “Te vaak hoor ik dat omdat er al zoveel geïnvesteerd is in iets, men er toch geld in blijft stoppen.”
• De waan van de dag, het idee snel mee te moeten gaan met gehypte innovaties uit angst de boot te missen.
• Kostenstijgingen in zijn algemeenheid, waardoor er minder geld over blijft om langdurig structureel te investeren in een goed doordachte digitale transformatie.
“Het resultaat van diverse combinaties hiervan is dat je vaak in een schemerzone terecht komt waarin je her en der wat digitaliseert, wat pilots uitvoert, maar niet de durf hebt om door te zetten. Wij proberen hier doorheen te breken: met onze aanpak, maar ook door de meerwaarde aan te tonen van wat er doorgevoerd wordt. Vooraf roepen dat je een geweldige toepassing hebt, twee jaar implementeren zonder voordelen te laten zien, dat werkt niet. Er blijft altijd weerstand bestaan, bijvoorbeeld uit emotie. Maar zodra je in de praktijk kunt tonen dat iets meerwaarde heeft –voor het bestuur, ook de medewerkers – dan kom je er wel. Zo kun je met veel kleine stappen snel veel bereiken.”
Externe uitdagingen
Externe uitdagingen zoals wetgeving, geopolitieke ontwikkelingen, hebben tegenwoordig meer invloed dan voorheen op de richting die een organisatie kiest of kan kiezen, merkt Van Dorp op. Maar uiteindelijk is zoiets als een focus op weerbaarheid of digitale soevereiniteit gewoon weer een nieuwe reden om een organisatie een transformatie te laten ondergaan.
“Dat zie je bij ons en dat zie je bij elke organisatie. Externe uitdagingen nemen wij dus mee in ons verhaal. Maar onderliggend gaat het nog steeds om hetzelfde: verandering is een kwestie van cultuur, van mensen, van processen, waarbij IT kan helpen om sneller te veranderen dan misschien twintig jaar geleden.”
Maurice van Dorp
VAN SILO’S NAAR SYNERGIE:
Hoe technologie de overheid wendbaar maakt
We kunnen trots zijn op het innovatievermogen van de Nederlandse overheid, maar om voorop te blijven lopen is het zaak een aantal urgente uitdagingen efficiënt aan te pakken. Maarten van Egmond houdt zich daar als Director Public Sector bij ServiceNow intensief mee bezig. ‘Wij geloven dat technologie geen doel op zich is, maar een middel om publieke waarde te vergroten.”
De betrokkenheid van Maarten van Egmond bij de publieke sector komt voort uit een lange carrière die zich vrijwel volledig binnen dit domein afspeelt. “Mijn affiniteit met publieke dienstverlening heeft te maken met de dynamiek, de maatschappelijke relevantie, en de kans om écht impact te maken voor burgers en ambtenaren. Dus toen de kans zich voordeed om bij ServiceNow voor de publieke sector te gaan werken, heb ik deze met beide handen aangegrepen. De publieke sector geeft mij energie om te werken aan oplossingen die bijdragen aan een betere overheid en daarmee een beter Nederland.”
Hij ziet een drietal grote thema’s die de agenda binnen de overheid bepalen: soevereiniteit, kunstmatige intelligentie (AI) en legacy. “Soevereiniteit wordt steeds belangrijker: door de veranderende geopolitieke situatie is er binnen overheden wereldwijd meer aandacht gekomen voor dataresidentie, privacy en technologische afhankelijkheid. De vraag is niet langer óf, maar hóe we ervoor zorgen dat onze digitale infrastructuur minder afhankelijk wordt van, of beheersbaar is met betrekking tot buitenlandse leveranciers. Overheden willen meer grip op hun data en infrastructuur en dat begrijp ik.”
AI is een dominant thema. “De wereld verandert in een razendsnel tempo.
AI oplossingen worden steeds krachtiger, en de overheid kan zich geen afwachtende houding veroorloven. Er is nu momentum om te bepalen hoe AI op verantwoorde wijze ingezet kan worden binnen publieke diensten – van procesautomatisering tot besluitvorming.”
Het derde thema zijn de huidige legacy systemen en de daaraan gerelateerde verkokering. “Veel overheidsinstellingen zijn gebouwd op verouderde IT landschappen, die moeilijk met elkaar communiceren. De interne silo’s binnen organisaties – en de verkoke
de technologie kunnen wij een bijdrage leveren, zonder daarbij op de stoel van de ambtenaar of CIO te gaan zitten. We kunnen ondersteunen, meedenken en systemen bieden die het werk lichter en effectiever maken.”
De Nederlandse overheid is volgens hem heel actief op het gebied van technologie. “Vergeet niet: we hebben in Nederland bijvoorbeeld een van de modernste belastingdiensten ter wereld. Al in de jaren zeventig werd er daar geïnvesteerd in automatisering en dat zijn ze blijven doen. Dat heeft
‘AI-oplossingen worden steeds krachtiger en de overheid kan zich geen afwachtende houding veroorloven’
ring tussen ketenpartners – vormen een aanzienlijke rem op innovatie. Het doorbreken van die silo’s is cruciaal om integrale dienstverlening aan burgers te realiseren.”
Trots
Het publieke domein verdient volgens hem meer erkenning. “Ambtenaren werken onder hoge druk, vaak met beperkte middelen. Als iets goed gaat, is dat vanzelfsprekend. Als er iets misgaat, staat het in chocoladeletters in de krant. Dat is niet altijd eerlijk. Vanuit
geresulteerd in bijvoorbeeld voor ingevulde aangiftes – dat is niet niets. Natuurlijk is het systeem complex, maar ook indrukwekkend. Ik vind dat we daar trots op mogen zijn.”
Platform
ServiceNow is voortdurend in ontwikkeling. Begonnen als ITSM leverancier heeft het bedrijf zich ontwikkeld tot een breed Data, AI en Workflow-platform. “Dit betekent dat we niet alleen IT processen ondersteunen, maar ook HR, facilitair, customer service en
AUTEUR MARCO VAN DER HOEVEN
risicobeheersing. Binnen de overheid wordt die platformgedachte inmiddels breed erkend. Waar voorheen een aanbesteding zich beperkte tot IT-servicemanagement, worden nu integrale oplossingen gevraagd waarin ook andere domeinen worden meegenomen.”
“Onze kracht zit in het orkestreren van workflows over verschillende systemen heen. Overheden gebruiken vaak afzonderlijke systemen voor IT, Risk, facilitair beheer of voor HR. Tussen die systemen wordt veel handmatig werk verricht – gegevens worden overgetypt, processen stagneren. Wij automatiseren en integreren die workflows. Daardoor neemt de snelheid toe, daalt de foutgevoeligheid en stijgt de tevredenheid bij eindgebruikers. Dat is de essentie van wat wij doen: zorgen dat systemen samenwerken en mensen ontzorgen.”
Strategie
De strategie van ServiceNow voor de publieke sector draait om drie ankerpunten: relevantie, legitimiteit (license
to operate), en schaalbaarheid. “Wij willen duidelijk maken waarom wij relevant zijn voor de overheid. Tegelijkertijd is het zaak om aan de complexe voorwaarden van de overheid te voldoen – denk aan de verschillende manieren waarop wordt aanbesteed. Dat doen we niet alleen: we werken nauw samen met onze partners.” Een actueel onderwerp binnen deze strategie is digitale soevereiniteit. “ServiceNow biedt meerdere niveaus van databeheer aan: van public cloud tot volledig on-premise. Klanten kunnen ervoor kiezen om al hun data binnen Europa te laten opslaan, door Europese medewerkers te laten beheren, en te profiteren van dubbele encryptie. We hebben datacenters in onder andere Amsterdam en Ierland. Ook onze AI-functionaliteit is beschikbaar in een volledig soevereine opzet.”
AI-strategie
Die AI-strategie is driedelig. “Allereerst helpt AI gebruikers op ons platform met het vinden van antwoorden en het
opstarten van processen. Vervolgens biedt AI ondersteuning bij het optimaliseren van die processen. Als derde introduceren we een AI control tower. Daarmee kunnen organisaties het gebruik van AI over verschillende systemen en leveranciers heen monitoren. Dit is belangrijk, want veel organisaties gebruiken verschillende AI-oplossingen die niet met elkaar communiceren. De AI control tower biedt regie en inzicht in deze gefragmenteerde werkelijkheid.” “We kunnen hierbij als ServiceNow niet zonder onze partners. In het publieke domein werken we met mantelpartijen zoals SoftwareONE, Protinus en Dustin, en implementatiepartners zoals bijvoorbeeld Deloitte, KPMG, EY en Plat4mation. Samen met onze partners bespreken we strategieën, wisselen we best practices uit, en organiseren we events – bijvoorbeeld binnen Defensie, waar we met meerdere Noord-Europese landen samenwerken.”
Lessen
Het aanbestedingsproces in de overheid kent wel obstakels. “Te vaak is er een reflex om opnieuw aan te besteden zodra een contract eindigt, zonder te kijken naar de mogelijkheden binnen bestaande platformen. Ook wordt er nog vaak voor point-solutions gekozen, terwijl een platformaanpak veel meerwaarde kan bieden. Bovendien zijn de gestelde voorwaarden vaak zwaar – soms terecht, soms discutabel. Wij pleiten voor meer dialoog, meer ketenoverstijgend denken en meer focus op architectuur.”
De komende jaren staan in het teken van fundamentele keuzes. “Overheden moeten beslissen hoe zij omgaan met verouderde systemen, geopolitieke afhankelijkheden en de kansen én risico’s van AI. Wij geloven dat technologie geen doel op zich is, maar een middel om publieke waarde te vergroten. Samen met partners willen wij eraan bijdragen dat digitale transformatie niet alleen efficiënt, maar ook maatschappelijk verantwoord en duurzaam wordt gerealiseerd. Een ding is zeker: Het gaat nooit meer zo langzaam als vandaag.”
Maarten van Egmond
ANDRÉ VAN DER LINDEN, FLORAHOLLAND:
‘
We moeten schouder aan schouder staan voor goede cybersecurity’
Na 26 jaar bij Rabobank (zowel nationaal als internationaal) besloot André van der Linden dat het tijd was voor iets anders. Daar kwam het CIO-schap van Royal FloraHolland uit, met zo’n 100.000 transacties per dag en een jaaromzet van 5 miljard euro de leidende internationale sierteeltmarktplaats. De coöperatie verbindt de leden - kwekers - en kopers van bloemen en planten. Royal FloraHolland ontstond in 2008 uit een fusie van veilingverenigingen zoals Bloemenveiling Aalsmeer en Flora Holland.
AUTEUR MARTIJN KREGTING
Ik kende de sector en het bedrijf niet toen ik er zes jaar terug begon, dus dit was een mooie nieuwe uitdaging”, begint Van der Linden. “Ik moest weer nieuwe dingen leren en heb me verder kunnen ontwikkelen in een prachtige sector met producten waar mensen blij van worden. Als je bij ons de hal binnenloopt en je ruikt de geur van bloemen, dan doet dat iets met je.”
De functietitel van Van der Linden is nog steeds die van CIO, de invulling is veranderd. Per 1 januari is de structuur van Royal FloraHolland namelijk aangepast om te benadrukken dat het een platformorganisatie is, bestaande uit vier onderdelen: een digitaal platform en een logistiek platform; een commerciële organisatie die waarde levert aan de leden – de kwekers – en een business-organisatie die partnerships verzorgt met kopers. Van der Linden is verantwoordelijk voor zowel het digitale platform (Floriday) als voor de IT-organisatie die heel Royal FloraHolland bedient.
Grotere schaal
Al sinds begin 20e eeuw werken kwekers van bloemen en planten samen in het aanbieden van hun producten via marktplaatsen. Royal FloraHolland doet in principe hetzelfde, alleen op grotere schaal. Vrijwel alle verkopen
worden financieel en logistiek afgehandeld, waarbij Royal FloraHolland de leden financiële zekerheid biedt door het kredietrisico over te nemen. Waar de klok de traditionele verkoopmethode is, bracht de mobiele telefoon en internet hier een aantal jaren geleden directe handel bij, vooral tussen kwekers en kopers die elkaar al kennen en vertrouwen. De verhouding klok-directe handel is nu 40-60 procent en de handel via de klok neemt elk jaar een beetje af. De directe handel vond vooral via de mobiele telefoon plaats: een foutgevoelig proces.
Van der Linden: “Om hier een rol in te spelen, hebben we ons digitale platform ‘Floriday’ gelanceerd - met twee beloften, grow your business, simplify your process. Directe handel gebeurt meestal op basis van wie men kent. Via het digitale platform heb je als koper en kweker toegang tot veel meer aan- en verkoopmogelijkheden, terwijl processen eenvoudiger worden door digitale afhandeling.”
Business-transformatie
Het digitale platform was een concreet gevolg van de business-transformatie die Royal FloraHolland de afgelopen jaren onderging, een die ook noopte tot een IT-landschap dat losgekoppeld werd
van aparte zaken zoals de veilingklok en de directe handel. Daarnaast werd de manier van werken waarbij business vroeg en IT leverde – of aangaf wat niet kon – vervangen door een nieuwe aanpak, op basis van het SAFE-raamwerk. “We zitten in een transformatie naar kortcyclisch werken, experimenteren met nieuwe mogelijkheden om snel stappen te zetten, in plaats van langdurig marktonderzoek om elke nieuwe stap te onderbouwen”, stelt Van der Linden. “Daarvoor hebben we relevante elementen uit het SAFE-framework gepakt1, met een focus op end-to-end verantwoordelijkheid. De business owner zit aan het stuur (de portfolioroutine), terwijl de delivery gefocust is op zo snel mogelijk waarde leveren aan de markt (de delivery routine).”
Eén team
De nieuwe manier van werken resulteerde allereerst in het voornoemde digitale platform – Floriday - en wordt nu breder ingevoerd. De leden van de teams die voor de verschillende disciplines in de organisatie IT-producten en -diensten bedenken en ontwikkelen, zitten er volgens de CIO niet alleen voor hun achterban – IT, business, support - maar als onderdeel van één team met end-to-end verantwoorde -
lijkheid voor waar zij mee bezig zijn en de ruimte om zaken te prioriteren. Van der Linden: “Inmiddels zie je de resultaten: geplande oplossingen worden zoals gewenst opgeleverd, waarbij in de tussentijd de vinger aan de pols gehouden wordt of het nog steeds voldoet aan de behoefte. Dat doe je niet van de een op de andere dag, Daarom houden we bijvoorbeeld in de gaten hoeveel experimenten en pilots we elk kwartaal inzetten, omdat we willen leren door te experimenteren. Zonder voldoende experimenteren leren we niks. Organisatorisch is de digitale transformatie dus op orde, nu moeten we het bij mensen tussen de oren krijgen. Want de nieuwe aanpak vergt iets meer: het geven en nemen van eigen verantwoordelijkheid dan dat men gewend was.”
Goede AI-aanpak
Ook belangrijk voor de organisatie vindt Van der Linden een goede AI-aanpak. Royal FloraHolland moedigt hierbij een bottom up-aanpak aan. “Zo enthousiasmeren we medewerkers via licenties voor Copilot. Ook hebben we al wat experimenten gedaan met agentic AI, zoals een AI-agent die allerlei data voor onze medewerkers kan zoeken.” Inmiddels geeft de organisatie volgens
Van der Linden vol gas met AI, onder meer met een in september gelanceerd AI-lab. Dat lab bundelt de benodigde expertise om AI in de organisatie een echte boost te geven. Ook kan elke medewerker Copilot gaan gebruiken, waar dan wel een stevige training aan vooraf gaat: wat is het, wat mag je wel en wat niet. “Verder gaan we zwaarder inzetten op agentic AI om processen te optimaliseren. Parallel aan ondersteuning via een consultant bouwen we onze eigen expertise op om op langere termijn zelf meer te kunnen ontwikkelen. Eind dit jaar hopen we enkele use cases met agentic AI te hebben geïmplementeerd. Iedereen heeft het wel over de potentie van agentic AI, ik wil het gewoon in de praktijk zien.”
Uitdaging van cybersecurity
Eerder dit jaar bracht Royal FloraHolland het Trendrapport sierteelt uit, waarin het onder meer stelde dat de inhaalslag op digitaliseringsgebied ook gevaren met zich meebrengt. Zo zou slechts 13 procent van de kwekers zich volledig beschermd achten op cybergebied. “Ons trendrapport geeft aan dat er veel werk te doen is. Kwekers en kopers vragen me vaak hoe veilig hun data bij ons is. En dat snap ik, vertrouwen in ons platform is belangrijk. Mede daarom wordt bijvoorbeeld multi-factorauthenticatie (MFA) dit jaar verplicht voor alle Floriday-gebruikers. Maar als ik vraag naar de eigen verantwoordelijkheid, geeft men vaak aan te klein te zijn om interessant te zijn voor cybercriminelen – terwijl het al lang niet meer alleen grote partijen zijn die getroffen worden. Het gevolg? Hun groeiende digitale aanpak – denk aan het regelen van temperatuur en klimaatbeheersing maakt hen kwetsbaar.”
Als het tot de kwekers doordringt wat er kan gebeuren als een cybercrimineel na een hack op afstand de temperatuur in een koelcel opeens 20 graden kan verhogen, volgt meestal de vraag om hulp.
Iets dat Van der Linden niet kan bieden aan de hele sector. “Hiervoor hebben we twee jaar geleden met Greenport West-Holland het Cyberweerbaarheidscentrum gelanceerd: om bewustzijn te creëren en om praktisch advies te bieden. Ook bieden we kwekers een gratis cyberabonnement.”
Security als brandveiligheid
Het grootste probleem blijft echter vooralsnog gebrek aan bewustzijn over cybergevaren. Iedereen investeert in brandbeveiliging, terwijl brand zo’n 0,1 procent van de kwekers treft. Bijna niemand investeert echt in cybersecurity, terwijl misschien wel de helft van alle bedrijven ooit een keer gehackt wordt. Van der Linden: “Gelukkig verschuift het onderwerp steeds meer naar economische weerbaarheid, waarvan cyber een vitaal onderdeel is. Dat blijft beter tussen de oren zitten. Maar het gaat niet vanzelf goed komen, we moeten er aandacht voor blijven vragen. Mijn droom is dat cybersecurity net zo gewoon wordt als brandbestrijding.”
Digitale marktplaats
Ook op digitaliseringsgebied zijn er nog slagen te maken. Zo zit het digitale platform Floriday nog in de adoptiefase. Directe handel in planten gaat al grotendeels via het platform, die van bloemen moet nog volgen. Van der Linden hoopt dat uiteindelijk alle directe handel én de klokhandel via het platform loopt, zodat Floriday de marktplaats is waar alle vraag en aanbod samen komt voor de sierteeltsector. “Voor de organisatie wil ik graag dat er structureel samengewerkt wordt tussen business, support en IT, dat men de verantwoordelijkheid oppakt om meerwaarde te creëren voor onze achterban normaal vindt. En verder natuurlijk dat iedereen cybersecurity vanzelfsprekend vindt, dat we hier schouder aan schouder staan.”
1 Het Scaled Agile Framework (SAFe), helpt organisaties om Agile werken op grotere schaal toe te passen. SAFe richt zich op samenwerking tussen meerdere teams en het leveren van klantwaarde. Het raamwerk bestaat uit vier niveaus: Team, Agile Release Train, Large Solution en Portfolio. Elk niveau heeft specifieke rollen en verantwoordelijkheden die bijdragen aan het gezamenlijke doel.
André van der Linden
MARC HULZEBOS
(EUROFIBER),
ERWIN
RADEMAKER (HAVEN ROTTERDAM):
‘ Veilige quantumnetwerken zijn geen toekomstmuziek’
De evaluatie van ’s werelds eerste schaalbare quantum-netwerk – in de Rotterdamse haven - is nog gaande, maar de eerste conclusies zijn positief. Ja, een quantumnetwerk aanleggen om communicatie te beschermen tegen conventionele én straks quantum-computers, vergt een flinke investering. Maar de bescherming via quantum key distribution is heel effectief tegen elke vorm van afluisteren of decryptie. “Je kunt ons project met onder meer de Haven van Rotterdam zien als een kanarie in een kolenmijn”, stelt Marc Hulzebos van Eurofiber. “Quantumdecryptie kan een zeer grote bedreiging worden voor privacy en security, maar er is gewoon een oplossing voorhanden.”
AUTEUR MARTIJN KREGTING
Zowel Erwin Rademaker, senior programmamanager bij Port of Rotterdam, als Eurofibers Business Innovation Officer Marc Hulzebos houden zich bezig met innovaties voor de wat verdere toekomst. Onderdeel van deze blik op de toekomst is de inzet van quantumtechnologie, volgens onder meer de Europese Commissie en de Nederlandse regering een sleuteltechnologie. Quantumtechnologie telt grofweg drie hoofdelementen: computing, netwerken en sensoren. Ze hebben het element quantum gemeen, maar zijn verder drie volkomen uiteenlopende begrippen waar verschillende wetenschappelijke disciplines zich mee bezighouden. Kwantumchips worden steeds beter en dit zal exponentieel versnellen de komende vijf tot tien jaar. Dit biedt veel mogelijkheden, maar ook uitdagingen. Kwantumcomputers kunnen hele goede codebrekers worden dankzij hun capaciteit om met qbits te werken (tegelijkertijd 0 en 1). De huidige encryptie gebruikt het factoriseren van grote
getallen, wat met de huidige decryptiemethoden erg moeilijk te breken is. Kwantumcomputers zouden hiertoe veel makkelijker in staat zijn, wat voor grote veiligheidsproblemen kan zorgen.
Gevaar versus belofte Kwantumcommunicatie, wat onder kwantumnetwerken valt, is al wat verder ontwikkeld dan kwantumcomputing, stelt Rademaker. “En waar het computingaspect ook een bedreiging vormt – voor encryptie – heeft kwantumcommunicatie (QKD, zie kader) een belofte in zich: niet te kraken. Nu niet door conventionele computers, maar straks ook niet door kwantumcomputers. En aangezien het Havenbedrijf tot kritieke infrastructuren in Nederland hoort, dienen wij onze communicatie te beschermen tegen de groeiende dreiging van criminele en statelijke actoren op het gebied van cyber.”
Het quantumnetwerk project volgde op de ervaring van Havenbedrijf partner Cisco met een succesvolle QKD pilot, vervolgt Rademaker. “Voor ons als innova -
Quantum Key Distribution (QKD), in het Nederlands Kwantumsleutelverdeling, is een techniek die principes van de quantummechanica gebruikt om op een veilige manier cryptografische sleutels uit te wisselen tussen twee partijen. Deze methode is cruciaal voor het beveiligen van communicatie in een tijdperk waarin quantumcomputers in opkomst zijn en traditionele encryptiemethoden kwetsbaar kunnen worden.
tie afdeling was dit heel erg interessant, omdat het voldeed aan alle voorwaarden van een veelbelovende Horizon 3 innovatie (zie kader). Het technical readiness level – TRL schurkte aan tegen ‘we kunnen naar de markt toe’, er werd al gezocht naar concrete use cases.”
Goede use case
In 2022 leidde dit tot een consortium dat met de belofte van quantumcommunicatie aan de slag ging. Havenbedrijf Rotterdam (regisseur), Q*Bird (QKD technologie), Single Quantum, Cisco, Eurofiber (glasvezel, datacenter), Portbase en InnovationQuarter. Portbase dient als communicatieplatform om alle communicatie binnen de haven te faciliteren en was dus bij uitstek geschikt als use case.
“Het project samen met het Havenbedrijf hebben we vanuit Eurofiber opgezet omdat we de betrokken kwantumtechnologie zoals die uit ons QuTech fieldlab kwam, praktisch wilden vertalen naar een use case”, schetst Marc Hulzebos. “Denk aan de berichtenuitwisseling die dagelijks op grote schaal plaatsvindt bij bedrijven op het terrein van het Havenbedrijf, intern en extern. In een twee jaar lopend project hebben we een minimal viable product (MVP) gebouwd. Nu kijken we naar de doorontwikkeling naar nieuwe klanten en nieuwe toepassingen.”
Lessons learned
Het in 2022 begonnen project mondde in 2024 uit in het eerste werkende quantum netwerk. De evaluatie van de resultaten wordt momenteel afgerond, vertelt Rademaker, maar er zijn al een paar duidelijke lessons learned:
• QKD is een beloftevolle technologie die elke vorm van afluisteren of kraken kan voorkomen.
• Er komt in zijn algemeenheid meer kijken bij het toekomstbestendig maken van kwantumveilige communicatie dan je denkt. Het is een intensief traject, waarvoor je meestal flink wat extra infrastructuur nodig hebt. Dit vergt investeringen, maar je kan gebruik maken van normale, bestaande glasvezels.
• Heel veel bedrijven hebben geen enkel besef wat er qua kwantumbedreiging vanuit de computerkant op hen af komt: het q-day fenomeen. Elk bericht dat je verstuurt, alle data die je opslaat, kan gekraakt worden. Bewustzijn op dit punt is heel belangrijk.
• Cisco zou op basis van deze use case zijn secure key internetprotocol mondiaal gaan uitbreiden met deze technologie. “In de zeer nabije toekomst kunnen gebruikers van technologie van aanbieders zoals Cisco dan voor zeer beveiligde communicatie gebruiken, zonder hiervoor zelf heel zwaar te hoeven investeren.“
Brug slaan
De toepasbaarheid is nu bewezen, stelt Hulzebos. Wel is er nog een flinke brug te slaan van de huidige use case naar naar algemeen geaccepteerde technologie. “Er is nog standaardisatie nodig, en ook certificering, om dit op brede schaal door te ontwikkelen. Projecten
zoals die met het Havenbedrijf zijn echter essentieel om dit soort trajecten op te starten en te doorlopen.
Rademaker benadrukt dat het belangrijk is om niet alles kapot te testen, alvorens concreet aan de slag te gaan. “Wetenschappers denken altijd dat er nog niet genoeg getest is. Maar voor de meeste bedrijven maakt het niet uit hoeveel sneller een kwantumcomputer is dan een gewone computer. Elk bedrijf dat het kan betalen, wil zo’n computer direct kopen. Dus waarom wachten om in te stappen? Al die certificeringen gaan misschien nog wel 5-10 jaar duren.”
Hulzebos vult aan: “We zijn er mee aan de slag gegaan, en na twee jaar konden we zeggen: het werkt gewoon in het beveiligen van digitale infrastructuur. Daar hebben we zelf nooit aan getwijfeld, maar nu hebben we het bewijs. Nu kunnen we ook gaan werken aan die certificering, zodat bijvoorbeeld over heden de technologie ook mogen gebruiken. En zeker in het licht van alle huidige geopolitieke ontwikkelingen is het ontzettend actueel om deze technologie snel door te ontwikkelen, om zo kritieke infrastructuur te bescher-
men. Daarom bouwt Eurofiber mee aan nieuwe QKD-systemen die het geïnteresseerde bedrijven in de Randstad mogelijk maakt om dataverkeer tussen hoofdlocaties en datacenters uitzonderlijk te beveiligen.
Volgende stappen
Wat heeft dit project voor Eurofiber voortgebracht? Hulzebos: “We hebben nu via InnovationQuarter, de regionale ontwikkelingsmaatschappij van Zuid-Holland, nieuwe en Europese investeringsgelden opgehaald om het systeem uit ons MVP uit te breiden. We willen de competenties die we uitgerold hebben in het lokale netwerk in Rotterdam uitbreiden naar ons netwerk in Amsterdam om daar nieuwe gebruikers te verbinden, die bijvoorbeeld beveiligd willen communiceren met gebruikers in Rotterdam. Dan heb je het over een eerste netwerk van netwerken, dat is de volgende stap. Op deze manier is de technologie heel eenvoudig in gebruik, en we nodigen klanten en organisaties uit om ermee te komen experimenteren.”
Voor de innovatieafdeling van het Havenbedrijf betekent de succesvolle use case nu dat het stokje elders opgepakt dient te worden, schetst Rademaker. “We hebben een proeftuin helpen opstellen als onderdeel van het QuantumDelta NL-programma. Het is nu aan andere afdelingen binnen het Havenbedrijf, zoals de cybersecurityafdeling, om te beoordelen hoe kwantumcommunicatie via QKD kan gaan worden gebruikt bij ons. Duidelijk is in ieder geval: veilige quantumcommunicatie via QKD is geen toekomstmuziek, maar kan nu al gewoon worden ingezet.”
Het 3-Horizonnenmodel is een raamwerk dat bedrijven helpt om hun innovatie-inspanningen te structureren door ze in drie ‘horizonten’ of tijdslijnen te plaatsen:
• Horizon 1: Verbeteren (het heden): Deze horizon richt zich op het optimaliseren van de bestaande kernactiviteiten, processen en producten. Het doel is om de efficiëntie te verhogen, kosten te verlagen en de huidige marktpositie te versterken.
• Horizon 2: Vernieuwen (de nabije toekomst): Hier gaat het om het ontwikkelen van nieuwe producten, diensten of bedrijfsmodellen die aansluiten op opkomende trends en technologieën. Het is een tussenstap naar echt nieuwe groei, waarbij gebruik wordt gemaakt van bestaande kennis en vaardigheden, maar met een focus op vernieuwing en het benutten van nieuwe kansen.
• Horizon 3: Creëren (de verre toekomst): Deze horizon richt zich op het verkennen en ontwikkelen van radicaal nieuwe ideeën en disruptieve technologieën die de huidige businessmodellen volledig kunnen veranderen. Het gaat om het anticiperen op de toekomst en het creëren van nieuwe markten en kansen.
Goede cybersecurity vergt het zien van je eigen blinde vlekken
Ondernemers begrijpen steeds beter dat cybersecurity en weerbaarheid veel meer is dan een technische aangelegenheid: het is iets dat iedereen op alle lagen in een organisatie aan gaat. Zeker nu (gen) AI het cybercriminelen eenvoudiger maakt om aanvallen uit te voeren. Alleen als iedereen de eigen rol kent in het veilig houden van de organisatie – of in het herstellen van een incident – zit je goed. Regulering zoals NIS2 draagt bij aan het voelen van meer verantwoordelijkheid, ook op bestuurlijk niveau. Inzicht in je data – waar staat het, wat is de impact bij diefstal of op straat terecht komen ervan – is noodzakelijk. Security-aanbieders kunnen niet alleen op technisch niveau helpen, maar ook op organisatorisch niveau, bij het inschatten van risico’s. Zo kun je je richten op je core business, stelt MMOX-CTO Steven Ottenhoff.
Vrijwel elke security-aanbieder, wij niet uitgezonderd, heeft de afgelopen jaren de aandacht uitgebreid van preventie naar weerbaarheid. Voorkomen van een malware-aanval blijft belangrijk. Daar zetten wij een reeks instrumenten voor in. Maar de realiteit leert ons dat een hack niet altijd te voorkomen is. Soms heeft een hacker zich al weken of maanden in je netwerk genesteld, om pas in actie te komen wanneer dit nodig is.
Wij vinden dat security uit het technische domein gehaald moet worden. Security, veilig zijn, is niet een IT-probleem, het is een organisatieprobleem. Die aanvliegroute is de afgelopen jaren logischer geworden voor veel ondernemingen. Voorheen dacht men dat vooral aanvallen werden uitgevoerd waar veel geld te halen viel, zoals banken. Nu dringt het besef door dat iedereen slachtoffer kan worden. Aanvallen is makkelijker en goedkoper dan ooit. Iemand zonder enige kennis koopt dit ‘as a service’. Iedereen kan dus dat donkere digitale steegje inlopen. Wat helpt, is dat de nieuwe wet NIS2-richtlijn – in Nederland nog toe te passen als Cyberbeveiligingswet
- aansprakelijkheid neerlegt bij het management. Natuurlijk, security is niet je core business als ondernemer. Daarvoor moet je kunnen leunen op een security- aanbieder. Maar een organisatie heeft ook zijn eigen verantwoordelijkheden om systemen en data veilig te houden. Als bestuurder ben je straks aansprakelijk als je niet zorgvuldig omgaat met zaken als een meld- of zorgplicht.
Wat kost een hack jou écht?
Ook risicomanagement is belangrijk in een holistische aanpak van security en weerbaarheid. Omdat security geen
begrip dat security, weerbaarheid iets is dat de hele organisatie betreft.
Je merkt dan soms dat de IT-manager bepaalde ideeën heeft over wat de business belangrijk vindt, terwijl blijkt dat de business andere systemen als cruciaal beschouwt. Of IT veronderstelt dat iedereen de richtlijnen kent en volgt, maar de praktijk toch anders is. Je moet elkaars verwachtingen en blinde vlekken snappen - en die van jezelf – om tot een open dialoog te komen: een die hele organisatie meer bewust maakt van de dreiging van cybersecurity, maar ook van risicobeheer. Wat is vitaal, wat is minder vitaal? Zo kom
Neem kleine stappen richting een hoger volwassenheidsniveau, je hoeft geen zevenmijlslaarzen aan te doen
IT-dingetje is en ook niet even geregeld is, gaan wij graag lange-termijnrelaties met organisaties aan. We doen veel aan bewustwording, proberen zoveel mogelijk mensen uit alle lagen van een organisatie te betrekken bij de vraag: wat zijn je risico’s, wat zijn je bedreigingen, hoeveel pijn gaat het doen? Ook dat kweekt
je, samen met je security-aanbieder, geleidelijk tot een concreet plan: hier sta je als organisatie, daar zitten de grootste gevaren en afhankelijkheden, dit is je volwassenheid van je security en zo gaan we dat verbeteren. Soms worden organisaties apathisch omdat ze zien dat er veel moet gebeu -
AUTEUR STEVEN OTTENHOFF
ren, bijvoorbeeld als ze naar het NIST Cyber Security Framework kijken – een internationaal raamwerk op securitygebied. Maar iedere stap is een verbetering. Neem dus kleine stappen richting een hoger volwassenheidsniveau, je hoeft geen zevenmijlslaarzen aan te doen.
Belang van data en AI
Dan data: die zijn cruciaal nu de wereld sneller en verder digitaliseert. Er komt steeds meer data bij, mede door AI-toepassingen gegenereerd. Data kun je zien als het bloed in je lichaam. Het verbindt alles, het voedt alles: weefsel (netwerkperimeter), organen (systemen). Zonder data kun je bijna niets meer. Maar net als bloed, kan data besmet worden met een virus, net als bloed kun je data verliezen. Data moet je dus beschermen, maar ook gebruiken om die bescherming te verbeteren. Data komt op verschillende manieren binnen. In ons geval via onze Cyber Sensoren, onze intel-partners, OSINT-analyses en overheidsinstanties als het NCSC. Ook krijgen we veel data van onze klanten, die we gebruiken om hun core business te begrijpen en te beschermen. Die data beschouwen we altijd als
confidentieel, ook als het om bijvoorbeeld e-mails gaat. Risicomanagement is onze kerntaak, en met de data van klanten nemen we geen enkel risico.
Praktijkvoorbeeld
Laat ik een voorbeeld uit mijn praktijk geven over de inzet van data om organisaties beter te beveiligen. Wij zetten statische en dynamische data in om inzicht te krijgen in de dreigingen voor een bepaalde organisatie in een bepaalde sector. Statische data zijn onder meer: in welke sector is een bedrijf actief? Welke incidenten hebben er in die sector plaatsgevonden, op welk soort systemen. Zijn deze systemen kenmerkend voor de branche, dan is de kans groot dat een organisatie waar wij voor werken die ook gebruikt. In de Nederlandse transportsector zie je bijvoorbeeld dat bij TMS-systemen als FleetGO en bij softwarebedrijven veel kernprocessen in publieke cloud-omgevingen als AWS en Google Cloud draaien. Dan dynamische data. Dat is onder meer onze kennis over nieuwe dreigingen, (zero day) kwetsbaarheden en actuele (geopolitieke) events. Die matchen we dan met de meer statische data om zo verbanden te kunnen maken
en concrete risico’s in kaart te kunnen brengen voor die specifieke klant. Onze cyberriskspecialisten gaan op basis van onze bevindingen in gesprek met organisaties om te bepalen in welke systemen welk soort data zit, wat de waarde ervan is, wat de impact is als die data op straat komt te liggen. We gebruiken de statische en dynamische data om de klant te helpen welke preventieve maatregelen genomen kunnen worden en hoe je voorbereid kan zijn als er toch een incident plaatsvindt.
Zonder grip op data, geen grip op toekomst
De komende jaren wordt het steeds belangrijker om enerzijds data steeds beter kunnen structureren, labelen en categoriseren. Zo krijg je als organisatie meer grip op die data. Anderzijds is het nodig dat je security-aanbieder bij blijft met zijn kennis, nieuwe bronnen aanboort, bijvoorbeeld ongestructureerde data, om zo het blikveld te verbreden en beter verbanden te leggen. AI is hierbij essentieel. Met AI kun je op nieuwe manieren snel complexe verbanden leggen, dus dat biedt nieuwe mogelijkheden. Zo kun je er risicomodellen mee maken die risico’s zichtbaar maken die menselijke analisten misschien missen. Mens en AI vullen elkaar zo aan. Verder kun je met AI meer automatiseren, zodat bijvoorbeeld data over een gevonden kwetsbaarheid sneller gekoppeld wordt aan data over sectoren, systemen en specifieke organisaties.
Conclusie
Steeds meer ondernemers beseffen dat security en weerbaarheid geen technisch probleem is, maar de hele organisatie aangaat. Het is een gezamenlijke verantwoordelijkheid, wat regulering zoals NIS2 benadrukt. Nu organisaties over steeds meer data beschikken, is het belangrijk om die enerzijds te beschermen, anderzijds juist in te zetten om die bescherming te verbeteren. AI gaat hier een fundamentele rol in spelen. Je mag van je securityaanbieder verwachten dat hij meer doet dan alleen technische ondersteuning: je moet samen de stappen naar een hogere security- volwassenheid en weerbaarheid zetten.
Steven Ottenhoff
Hybride oorlogsvoering noopt tot digitale paraatheid en bestuurlijke moed
Desinformatie en psychologische oorlogsvoering; cyber- en fysieke sabotageacties tegen kritieke infrastructuur: we zien het in toenemende mate plaatsvinden in westerse samenlevingen. Hybride oorlog zonder dat er daadwerkelijk oorlog gevoerd wordt. Het ondermijnen van het vertrouwen van burgers in de overheid en in de veerkracht van kritieke infrastructuren. De opkomst van generatieve AI biedt hierbij zowel nieuwe uitdagingen als kansen. Wat moet er gebeuren om die kansen op te pakken en de uitdagingen aan te pakken, zodat overheden, bedrijven en burgers weerbaar genoeg worden?
Tijdens de tweede van twee paneldiscussies op het door The Hague Centre for Strategic Studies (HCSS) georganiseerde evenement Cloud to Community was het onderwerp: ‘Digital defences in the age of societal warfare’. Ofwel: oorlog wordt al lang niet meer alleen op het slagveld gevoerd. Wat is de impact van toenemende desinformatie en hybride sabotageacties in een digitaal tijdperk op overheden, bedrijfsleven en samenleving, wat is de rol van (digitale) technologie en wat is hiertegen te doen? Panel-moderator Sofia Romansky – Strategic Analyst, HCSS – ging in gesprek met een divers panel: Christian Fjäder, Managing Director bij Geostrategic Intelligence Group; Hans Horan, Strategic Analyst bij HCSS; en Victoria Vdovychenko, Joint Programme Leader
van het Future of Ukraine Programme. Zij schetsten een verontrustend beeld van een grijze zone tussen vrede en oorlog, maar benadrukten ook dat het nog niet te laat is. Onder meer lessen uit Oekraïne kunnen westerse samenlevingen helpen zich beter te wapenen tegen een diffuse en steeds meer technologische vijand.
Een verschuivend strijdtoneel Waar traditionele oorlogsvoering zich kenmerkt door militaire inzet en fysieke confrontaties, vindt een groeiend deel van moderne conflicten plaats in een grijs gebied – tussen vrede en openlijk conflict. Volgens Christian Fjäder is dit geen nieuw fenomeen, maar wordt de impact ervan sterk vergroot door digitale technologie. Psychologische oorlogsvoering en het systematisch ondermij-
nen van vertrouwen in instituties zijn volgens hem uitgegroeid tot volwaardige strategische wapens. “AI wordt steeds vaker ingezet om crisisscenario’s te simuleren en beïnvloedingscampagnes vorm te geven. De technologie functioneert daarbij als multipliereffect voor bestaande dreigingen.”
Het meest verontrustend vindt Fjäder de snelheid waarmee generatieve AI evolueert. “Waar AI tot nu toe vooral een instrument is geweest, zie je nu toepassingen ontstaan die zelfstandig leren en opereren. Dat biedt ruimte voor autonome disruptie – zonder menselijke regie.” De kans dat AI in de nabije toekomst wordt ingezet voor bijvoorbeeld deepfakes van hoogwaardigheidsbekleders of het manipuleren van publieke besluitvorming, acht hij aanzienlijk.
Hybride aanvallen
Een terugkerend thema in het panel is het groeiende risico op hybride aanvallen op kritieke infrastructuren – van onderzeese kabels tot energiesystemen. Fjäder wijst erop dat cyber- en fysieke aanvallen momenteel nog grotendeels los van elkaar plaatsvinden, maar dat een goed gecoördineerde combinatie catastrofale gevolgen kan hebben. “De stap van verstoring naar verlamming is klein. De schaalbaarheid en snelheid van gen AI maken dit risico alleen maar groter.” Ook Hans Horan benadrukt dat de
AUTEUR MARTIJN KREGTING
Hans Horan en Victoria Vdovychenko
PALO ALTO NETWORKS:
Veel AI-investeringen mislukken door gebrek cybersecurity
Een paradox teistert de bedrijfswereld: er wordt wereldwijd een geschatte 30 tot 40 miljard dollar geïnvesteerd in Generatieve AI (GenAI), maar het merendeel van de organisaties worstelt met het realiseren van een meetbare Return on Investment (ROI). Volgens Haider Pasha, Chief Security Officer EMEA bij Palo Alto Networks, ligt de oorzaak hiervan direct bij het falen van de cybersecurity.
AUTEUR WITOLD KEPINSKI
Het probleem is fundamenteel een vertrouwensprobleem,” legt Pasha tijdens de recent gehouden Gartner Security & Risk Management Summit in Londen uit in een gesprek met Dutch IT Leaders. “Organisaties besteden miljarden aan de motoren – de LLM’s – maar vergeten vaak de rails te beveiligen. Zolang de data die de AI voedt niet betrouwbaar is, zullen organisaties de kritieke, hoogwaardige beslissingen die ROI genereren niet aan de AI overlaten.”
Volgens Pasha is de onbeveiligde data-toeleveringsketen de grootste cyberbeveiligingshindernis die de winst uit AI dwarsboomt. Dit omvat een gebrek aan duidelijke AI-governance, het falen om de gegevens -
‘De CISO wordt nu de rentmeester van intentie en actie’
herkomst (Data Provenance) te garanderen, en het risico van Data Poisoning of doelbewuste manipulatie van trainingsgegevens.
Agentische AI: van passief naar autonoom
De recente verschuiving van passieve AI (die alleen tekst of code genereert) naar Agentische AI (autonome agents die zelfstandig acties ondernemen) creëert een geheel nieuw beveiligingslandschap.
Deze agents voeren taken uit door API’s van andere systemen aan te roepen—financiële systemen, HR-portalen, of infrastructuurbeheer.
“Het traditionele beveiligingsmodel, gebaseerd op perimeterverdediging, is irrelevant in het tijdperk van de autonome agent,” waarschuwt Pasha. “De agent wordt een actor binnen de organisatie, die met dezelfde bevoegdheden en API-toegang handelt als een werknemer, maar dan 24/7.”
De nieuwe kwetsbaarheid is niet langer een simpele prompt-injectie, maar wat Pasha AI Werkstroommanipulatie (AI Chaining Attacks) noemt. Een niet voor de hand liggend voorbeeld:
“Een aanvaller hoeft niet de AI zelf te kraken. Ze kunnen een kwaadaardige input leveren aan een onafhankelijke tool of een configuratiebestand dat een ‘Financiële Agent’ moet lezen. De agent volgt perfect zijn instructies, maar op basis van de gemanipuleerde input autoriseert deze een abnormaal grote, frauduleuze overboeking of inkooporder. Dit is een logische fout, geen softwarefout, en wordt gemist door traditionele endpoint- en netwerkbeveiliging.”
De enkele kritieke actie voor de CISO
De urgentie vereist een onmiddellijke koerswijziging voor Chief Information Security Officers (CISO’s). Als Pasha zijn advies moest terugbrengen tot slechts één kritieke, onmiddellijke actie, zou dit een fundamentele verschuiving in de mindset zijn.
“De CISO moet de sprong maken van Defensie naar Validatie,” stelt hij. “De kritieke actie is de onmiddellijke implementatie van een robuust Input/Output Validatie (I/O Validatie)-framework voor elke AI-component.”
Dit betekent dat elke output van een AI, vooral die output die leidt tot een externe actie, als potentieel toxisch moet worden beschouwd totdat het door een apart mechanisme is geverifieerd. Dit mechanisme
‘Het
traditionele beveiligingsmodel, gebaseerd op perimeterverdediging, is irrelevant in het tijdperk van de autonome agent’
moet controleren of de actie logisch, ethisch en in overeenstemming met het beleid is, voordat de uitvoerende API wordt aangeroepen.
De realiteit van schaal en bestuur Pasha’s visie wordt gedeeld door praktijkmensen.
De presentatie van de CSO van Palo Alto Networks werd tijdens het Gartner Security & Risk Management Summit in Londen samengevoegd met de ervaringen van Benoit Herment, Group CISO bij Vinci, een complex en grootschalig conglomeraat in infrastructuur en bouw.
De meest cruciale inzichten die een CISO als Herment aan zijn peers kan bieden, liggen in de praktijk van zichtbaarheid en standaardisatie op schaal. “In een grote, gedecentraliseerde organisatie ontstaat ‘Shadow AI’ overal. Teams gebruiken AI-tools die ze zelf hebben gekozen,” legt Pasha uit. “Het advies is om niet de innovatie te stoppen, maar om een gecentraliseerde AI-beveiligingsblauwdruk op te stellen. Dit garandeert dat elke afzonderlijke AI-implementatie, ongeacht de afdeling, voldoet aan minimale, verplichte veiligheidsmaatregelen, zoals logboekregistratie, bewaking van bevoegdheden en de verplichte toepassing van I/O Validatie-mechanismen.”
De evolutie van de CISO:
De hoeder van intentie
Vooruitkijkend is de rol van de CISO onherkenbaar aan het veranderen. De focus verschuift radicaal van het louter beschermen van statische en bewegende gegevens naar het besturen van de acties en intenties van autonome systemen.
“De CISO was voorheen de ‘behoeder van data’,” concludeert Pasha. “Nu wordt de CISO de rentmeester van intentie en actie.”
Dit vereist nieuwe disciplines, zoals AI Risicomodellering en de ontwikkeling van ‘safety brakes’ – harde, niet-onderhandelbare grenzen in de code die voorkomen dat agents ethische, wettelijke of financiële drempels overschrijden. De CISO wordt de ultieme veiligheidsofficier, niet alleen verantwoordelijk voor het netwerk, maar voor de logica en de impact van de geautomatiseerde besluitvorming van de organisatie in de reële wereld.
De volgende generatie cybersecurity draait niet om het afweren van malware, maar om het temmen van de autonome, besluitvormende machine, aldus Pasha tot besluit.
Haider Pasha
MAARTEN VAN HAASTEREN:
‘Met AI maken we Schiphol sneller en slimmer’
De chaos en lange rijen op Schiphol in 2022 liggen nog vers in het geheugen. Maar achter de schermen wordt hard gewerkt om dergelijke situaties in de toekomst te voorkomen. Royal Schiphol Group heeft een innovatief AI-systeem geïmplementeerd om de reizigersstroom te optimaliseren. Aan het roer van deze digitale transformatie staat Maarten van Haasteren, Hoofd IT & Data Operations. In dit exclusieve interview vertelt hij over de uitdagingen, de successen en de toekomstvisie van een data-gedreven luchthaven.
Ubent nu twee jaar bij Schiphol. Was dit een bewuste keuze?
“Absoluut. Als student werkte ik al in de beveiliging op Schiphol. De dynamiek en de complexiteit van deze omgeving trokken me altijd aan. In eerdere rollen, bijvoorbeeld als CIO van Amsterdam, vond ik het al heel leuk om IT tastbaar te maken, zoals met slimme vuilnisbakken en AI op de vuilniswagen die zwerfafval detecteert. Op Schiphol kun je alles wat je doet perfect uitleggen aan je vrienden: ‘Kijk, we zorgen ervoor dat mensen sneller door de luchthaven gaan.’ Deze baan is me op het lijf geschreven. Ik had mijn oog al op deze functie en toen de kans zich voordeed, heb ik meteen gebeld.”
U bent sinds 2023 Hoofd IT & Data Operations. Wat houdt uw functie precies in?
“Ik ben verantwoordelijk voor alle IT, data en AI die we gebruiken voor de operatie van de luchthaven. Dat gaat echt over het vliegproces. We hebben een hoop ingekochte applicaties, van roostersystemen tot de 3.500 schermen in de terminal. Daarnaast hebben we een aantal hele grote systemen, zoals het centrale informatiesysteem dat alle vluchtinformatie bevat. Dat is de bron van alle data voor de hele sector, inclusief LVNL en alle luchtvaartmaatschappijen. Daarnaast hebben we hierboven een team van zo’n honderd
man dat in DevOps-teams zelf applicaties ontwikkelt.”
De digitale transformatie is een direct antwoord op de chaos van 2022. Wat was uw aanpak om dit te realiseren?
“De grootste uitdaging voor Schiphol in 2022 waren de lange rijen. Als je kijkt naar het aantal passagiers per vierkante meter is Schiphol een van de drukste luchthavens ter wereld. En de pieken worden groter maar de luchthaven niet. Dus is de oplossing IT, data en AI. Sommige sensoren hingen al aan het plafond, maar de data werd
“De uitdaging is altijd om te zorgen dat je product aansluit bij de vraag van de business. De implementatie van ‘augmented decision making’ moest worden geadopteerd door mensen die al jaren op intuïtie werken. We hebben het systeem niet door hun strot geduwd. We hebben het er eerst naast gezet en gezegd: ‘Je kunt hiernaar kijken, of niet.’ Sommigen deden het wel. Zo ontstonden er ‘early adopters’ die aan hun collega’s vertelden: ‘Moet je nou eens kijken wat dat gekke systeem bedacht heeft.’ De AI kan veel sneller data combineren dan een menselijk brein. Als het een paar keer met sug-
‘De uitdaging is altijd om te zorgen dat je product aansluit bij de vraag van de business’
niet aan elkaar gekoppeld. Onze eerste stap was om echt te meten waar de knelpunten zitten. We hebben nu een dashboard in ons managementteam waarin we de volledige reis van een passagier kunnen volgen, van het moment dat iemand binnenkomt tot aan de gate.”
U benadrukt het belang van co-creatie met medewerkers. Kunt u een specifiek voorbeeld geven van hoe de input van operationeel personeel leidde tot een significante verbetering van het AI-systeem?
gesties komt die heel goed uitpakken, denken mensen: ‘Hé, dat is wel prettig eigenlijk.’ Zo hebben we het langzaam opgebouwd naar een situatie waar ze nu grotendeels varen op de suggesties van het systeem, met een mens die meekijkt.”
“Een ander mooi voorbeeld, dat ook met klanttevredenheid te maken heeft, zijn de schermen bij de bagagebanden. Medewerkers kwamen met het idee om, omdat we toch al camera’s op het proces hebben, aan te geven wanneer de bagage op de band ligt. De koffer komt er niet sneller door, maar de
AUTEUR WITOLD KEPINSKI
klanttevredenheid is daardoor enorm omhoog gegaan, omdat mensen weten hoe lang ze nog moeten wachten.”
Het AI-systeem is afhankelijk van real-time sensordata en vluchtinformatie. Wat waren de grootste uitdagingen in het verzamelen, opschonen en integreren van al deze databronnen?
“De uitdaging is nooit de techniek, die komt wel goed. Het is de datakwaliteit. Je hebt data uit verschillende systemen, waar verschillende definities worden gehanteerd. De grootste uitdaging was om te zorgen dat we dezelfde definities hanteren, dat de business die definities accepteert en dat we vervolgens op die manier de systemen aan elkaar koppelen. We hebben de business er meteen bij betrokken en aan hen gevraagd: ‘Is dit waarmee jullie kunnen werken?’ Als zij ja zeggen, is het vervolgens een kwestie van het doorvoeren en afdwingen.”
De ‘Security Timeslots’ werden tijdens de meivakantie door 25% van de reizigers gebruikt. Welke strategieën heeft u toegepast om reizigers aan te moedigen dit nieuwe systeem te gebruiken en hoe schaalt u dit in de toekomst naar een nog hoger percentage?
“We hebben een vrij intensieve campagne gevoerd met influencers, abri’s en overal op onze website. In alle
uitingen rondom de zomer hebben we de reizigers aangemoedigd een tijdslot te boeken. Voor de toekomst richten we ons op de samenwerking met luchtvaartmaatschappijen. Sommige, zoals Lufthansa, nemen de passagiers al mee in de reis door bij het boeken van een ticket direct een tijdslot aan te bieden. Dat lijkt heel logisch voor reizigers. Andere luchtvaartmaatschappijen doen dit nog niet, waardoor je zelf naar de Schiphol-website moet om een tijdslot te boeken. We werken eraan om dit over de hele linie aan te bieden.”
De klanttevredenheidsscore van 4.4 uit 5 is indrukwekkend. Welke specifieke KPI’s (Key Performance Indicators) heeft u naast klanttevredenheid en tijdsbesparing gedefinieerd om het succes van de AI-implementatie te meten?
“De klanttevredenheidsscore van 4.4 is specifiek voor de tijdslots en is inderdaad heel hoog. Mensen voelen zich een VIP en hebben geen stress. Naast de pure waardering meten we ook de wachttijd en de NPS-score. Ons managementdashboard brengt de punctualiteit van vluchten en de online performance tot in de puntjes in kaart. We zijn ook voorzichtig begonnen met een samenwerking met de marechaussee, die hun roosters nu baseren op onze data. We hebben nu een volledige ‘end-to-end’-doorstroom van mensen
in kaart, van binnenkomst tot aan het vliegtuig. Dit helpt ons precies te zien waar het vastloopt.”
Wat is de volgende stap in de AI-strategie van Schiphol? Zijn er plannen om de ‘Flow Balancing’ en ‘Security Timeslots’ te integreren met andere luchthavenprocessen, zoals bagageafhandeling of gatetoewijzing?
“Dat is precies waar we naartoe willen. De grootste uitdaging is om alle afzonderlijke silo’s aan elkaar te koppelen. Ik zag laatst een video van een nieuwe luchthaven in Saoedi-Arabië die vanaf de grond is opgebouwd. Daar hebben ze alles van tevoren bedacht en aan elkaar verbonden. Dat is een droombeeld dat wij hier nooit zullen bereiken, omdat we vanuit een bestaande situatie met veel losse systemen werken. Bagage is bijvoorbeeld een volgend onderwerp. Dan zie je dat de ene luchtvaartmaatschappij het aantal koffers meet, de andere het aantal kilo’s en weer een andere helemaal niets doorgeeft. Dan begin je weer een beetje aan het begin: je moet de datakwaliteit op orde krijgen en met elkaar standaarden afspreken. Dus het is een constant proces van onderhandelen en praten.”
Heeft u nog advies voor andere IT-managers, op basis van uw ervaringen?
“Zonder de wijsneus uit te hangen: zorg dat je het eens bent over de data en dat iedereen naar dezelfde data kijkt. Dat is cruciaal. Daarnaast moet je gedurende het hele proces heel kort op de bal spelen, samen met je business-opdrachtgever. Dat zijn de kernelementen die hier elke dag weer waar blijken te zijn. Het motiveert ook enorm als iedereen binnen het team weet waarnaartoe we werken en wat het oplevert voor de reiziger. Als je een duidelijk doel voor ogen hebt, rennen mensen net even een stapje harder.”
Maarten van Haasteren
‘
PATRICK VAN DE COOLWIJK, LENOVO:
Verantwoorde inzet van AI essentieel voor digitale wendbaarheid overheid’
In een tijd waarin geopolitieke verschuivingen, technologische innovatie en toenemende dreigingen op het gebied van cybersecurity gelijktijdig druk uitoefenen op de publieke sector, wordt digitale wendbaarheid steeds crucialer. Voor overheden betekent dit dat zij niet alleen snel moeten kunnen inspelen op veranderingen, maar dit ook op een veilige en verantwoorde manier moeten doen. Patrick van de Coolwijk, Sales Director Enterprise Public Sector and Global Accounts BeNeLux bij Lenovo, ziet in zijn werk met overheden hoe AI enerzijds nieuwe kansen biedt voor efficiëntie en veiligheid, maar anderzijds ook nieuwe risico’s en verantwoordelijkheden met zich meebrengt.
Een belangrijk thema voor de klanten van Patrick van de Coolwijk is de geopolitiek en de impact daarvan op digitale transformatie.
“We zien de impact van veranderende verhoudingen tussen landen, streven naar soevereiniteit en vragen over de betrouwbaarheid van partners,” zegt Van de Coolwijk. Deze ontwikkelingen hebben directe gevolgen voor de wendbaarheid van organisaties en de manier waarop zij hun digitale transformatie vormgeven.
‘Veiligheid staat bij alles wat we doen voorop’
Lenovo geeft het goede voorbeeld met een flexibele inrichting van de eigen organisatie, onder meer met een wendbare supply chain. “De hele geopolitieke situatie zorgt ervoor dat we uitdagingen zien in de supply chain. Dat zagen we tijdens Covid, en nu bij Amerikaanse beleidswijzigingen.” Lenovo heeft er daarom voor gekozen om wereldwijd te produceren, in plaats van slechts in enkele regio’s.
Dankzij deze strategie, en ondersteund door kunstmatige intelligentie (AI), kon Lenovo tijdens de pandemie snel schakelen en productie verplaatsen naar fabrieken in Amerika, Europa, Afrika en Zuid-Amerika. AI speelt nu een sleutelrol in die wendbaarheid. Het stelt Lenovo in staat om fabrieken snel te herinrichten en nieuwe producten te maken.
Security centraal
Ook security is een belangrijk onderwerp in gesprekken met de overheid. “Iedereen is daarover aan het nadenken. De vraag die vaak aan ons gesteld wordt is: hoe kunnen jullie ons helpen met cybersecurity?”
Lenovo omarmt AI ook op het gebied van cybersecurity. Daarbij introduceert het bedrijf het concept van ‘Smarter AI for All’, waarbij verantwoord gebruik centraal staat.
Van de Coolwijk hierover: “We hebben een Responsible AI Committee opgericht dat al onze oplossingen evalueert op basis van diversiteit, transparantie, privacy en veiligheid.” Lenovo heeft zes pijlers geformuleerd waaraan hun AI-oplossingen moeten voldoen: inclusiviteit, privacy en veiligheid, verantwoordelijkheid en betrouwbaarheid, transparantie, uitlegbaarheid van beslissingen, en maatschappelijke en milieueffecten.
Security is zo bij Lenovo ‘by design’ onderdeel van elk product, van smartphone tot server. “Van pocket tot cloud houden wij rekening met security in onze producten”, zegt Van de Coolwijk. “Onze Think Shield-oplossingen zijn daar een voorbeeld van, waarbij AI wordt ingezet om bijvoorbeeld phishing en malware te detecteren en incidenten proactief te voorkomen. We investeren fors in deze oplossingen en zorgen ervoor dat security integraal wordt benaderd: over het volledige portfolio van pc’s, servers, opslag en netwerken heen.”
AUTEUR MARCO VAN DER HOEVEN
Cybersecurity-race
De inzet van AI in security brengt ook nieuwe uitdagingen met zich mee. “AI helpt niet alleen in de verdediging, maar ook de aanvaller maakt er gebruik van. Het is een ratrace,” stelt Van de Coolwijk. Daarom wordt veel geïnvesteerd in het optimaliseren van AI-security. AI wordt gebruikt om patronen te herkennen, dreigingen te voorspellen en incidenten te voorkomen. Dit gebeurt op basis van proactieve monitoring en analyse, zodat bedreigingen kunnen worden aangepakt voordat ze schade aanrichten. Opkomende technologie zoals AI agents, systemen die zelfstandig kunnen opereren, vormen een nieuw risico in het dreigingslandschap. Lenovo legt daarom ook deze systemen langs de meetlat van hun Code of Conduct. “Je moet altijd in control blijven over je agents,” benadrukt Van de Coolwijk. AI mag geen eigen leven gaan leiden. Het is van cruciaal belang dat deze agents transparant en controleerbaar zijn opgezet, zodat beslissingen uitlegbaar blijven en organisaties de regie houden over hun IT-omgeving.
Samenwerking
Lenovo werkt samen met een groot netwerk van partners om AI-oplossingen te realiseren. “Het is een community van bedrijven en oplossingen. Wij faciliteren dat met onze infrastructuur, zoals servers en AI-ready laptops.”
In haar Think Shield-portfolio werkt Lenovo bijvoorbeeld samen met partijen als SentinelOne om endpoint security te leveren op basis van AI. Deze samenwerking stelt Lenovo in staat om geavanceerde beveiligingsoplossingen te bieden die niet alleen detectie, maar ook herstel van aanvallen mogelijk maken, bijvoorbeeld door automatische BIOSherstelmechanismen.
Specifiek voor de overheid ziet Van de Coolwijk enkele verschillen ten opzichte van de private sector. “Bedrijven kunnen sneller experimenteren met AI-oplossingen. Overheden worden soms geremd door privacywetgeving zoals de AVG.” Toch zijn ook overheden volop bezig met hybride infrastructuren en AI-ondersteunde beveiligingsdiensten. Uit onderzoek blijkt dat bijna 79% van de organisaties in EMEA werkt aan AI-gebaseerde beveiligingsdiensten. In de publieke sector speelt echter het spanningsveld tussen innovatie en regelgeving een grotere rol dan in het bedrijfsleven.
Onderwijs en gezondheidszorg
Daarnaast wijst Van de Coolwijk op de groeiende rol van AI in andere publieke domeinen, zoals onderwijs en gezondheidszorg. “In het onderwijs helpen we scholen na te denken over waar AI kan helpen, bijvoorbeeld bij het nakijken van toetsen of real-time vertalingen.” Ook in de zorg biedt Lenovo AI-oplossingen, bijvoorbeeld voor medische beeldverwerking
in ziekenhuizen. AI kan daar worden ingezet om röntgenfoto’s te analyseren, patiëntgegevens te monitoren of behandelplannen te optimaliseren. Een bijzonder voorbeeld is de toepassing van AI in steden. “In Barcelona hebben we een supercomputer staan die het verkeer reguleert, toeristenstromen beheert en veiligheid bevordert. Deze AI-oplossing wordt ingezet door hulpdiensten als politie, brandweer en ziekenhuizen. Het zorgt ervoor dat mensen toegang hebben tot informatie, dat het verkeer goed doorstroomt, en dat nooddiensten snel en efficiënt kunnen opereren.” Dit voorbeeld toont volgens Van de Coolwijk aan hoe AI een concrete bijdrage kan leveren aan stedelijke veiligheid en leefbaarheid.
Maatschappelijke waarde
Volgens Van de Coolwijk is het essentieel dat AI op een verantwoorde en veilige manier wordt toegepast, zeker in de publieke sector. “Veiligheid staat bij alles wat we doen voorop.”
Lenovo helpt overheden, onderwijsinstellingen en zorginstellingen om AI strategisch en verantwoord in te zetten, met respect voor regelgeving en met oog voor maatschappelijke impact. Daarbij is het belangrijk dat organisaties scenario’s ontwikkelen en meerdere oplossingsrichtingen hebben.
“Je moet zorgen dat je geen afhankelijkheid creëert,” concludeert Van de Coolwijk. AI kan juist helpen bij het uitwerken van toekomstscenario’s en het vergroten van de weerbaarheid. Of het nu gaat om het verbeteren van dienstverlening, het verhogen van veiligheid of het optimaliseren van processen: AI kan echt het verschil maken.”
Patrick van de Coolwijk
FRED LHERAULT, PURE STORAGE:
‘Hybride benadering beste voor implementatie datasoevereiniteit’
Veel bedrijven zien tegenwoordig datasoevereiniteit als ‘top of mind’. Pure Storage deed hier onlangs onderzoek naar en trok daar een aantal conclusies uit. Belangrijk is dat bedrijven dit vraagstuk op een hybride manier aanpakken. Ook channelpartners kunnen hierbij een rol spelen. Dutch IT Channel en Dutch IT Leaders sprak hierover met Fred Lherault van Pure Storage.
AUTEUR FLORIS HULSHOFF POL
Data zijn het belangrijkste ‘waarde-asset’ van bedrijven en organisaties, maar vanzelfsprekend ook van overheden. Zeker nu de manier waarop zij zakelijke en strategische beslissingen nemen geheel ‘data driven’ is. Dit betekent dat het voor bedrijven belangrijk is hoe deze data worden beheerd, worden gebruikt, wie precies toegang tot de gegevens heeft en voldoen aan de wetten en governance-structuren van het land waarin de gegevens worden verzameld en bewaard. Kortom, ze willen weten hoe het met de datasoevereiniteit van hun gegevens is gesteld.
Factoren datasoevereiniteit
Uit recent onderzoek van Pure Storage in de regio’s Europa en Azië -Pacific blijkt dat datasoevereniteit op dit moment een ‘perfect storm’ doormaakt. “Er zijn verschillende redenen waarom datasoevereiniteit op dit moment opeens ‘top of mind’ is”, zegt Fred Lherault, Field CTO EMEA van Pure Storage. “Ten eerste zijn er ontwikkelingen op het gebied van wet- en regelgeving. Denk voor de EU bijvoorbeeld aan de al jarenlange AVG-regelgeving en meer recent DORA voor de financiële sector. Deze wet- en regelgeving gaat over data, datasoevereiniteit is hier een vanzelfsprekend onderdeel van.” “Een andere factor is de opkomst van
AI. Waar zijn mijn data en op welke data wordt de AI getraind? In dat licht is ook nieuwe wet- en regelgeving in opkomst. Denk aan de AI Act en de EU Cloud and AI Development Act in de EU. Dit leidt tot meer investeringen in soevereine dataleveranciers en soevereine cloudaanbieders.”
“Verdere factoren zijn de sterke opkomst de afgelopen 20 jaar van de public cloud en, zeker vanuit Europees perspectief, geopolitieke ontwikkelingen.”
Drietal conclusies
Uit het onderzoek komen drie belangrijke conclusies naar voren. In de eerste plaats geeft 100 procent van de respondenten aan dat het negeren van datasoevereiniteit tot onderbrekingen van de dienstverlening kan leiden. Lherault: “Bedrijven kijken daarom serieus naar waar hun data zijn opgeslagen. Bij nieuwe applicaties is dit nu standaard en geen optie meer.”
De tweede conclusie is dat geopolitieke ontwikkelingen, volgens 92 procent van de respondenten, als een risico worden gezien wanneer er niet naar datasoevereiniteit wordt gekeken. Nog eens 85 procent geeft aan dat het niet aandacht besteden tot minder consumentenvertrouwen kan leiden.
De derde conclusie is dat het niet beantwoorden aan wet- en regelgeving tot problemen kan leiden. Volgens
Lherault hebben vooral de respondenten uit Europa hierover zorgen.
“Vooral de EU-landen lopen voorop als het om de aandacht voor datasoevereiniteit gaat. Dit komt door de wet- en regelgeving (AVG, DORA) die meetelt. Niet beantwoorden aan deze weten regelgeving kan tot hoge boetes leiden. Bedrijven uit andere regio’s zijn toch meer geneigd om non-soevereine cloudomgevingen te gebruiken.”
“Ook laat 92 procent van de respondenten weten dat het niet beantwoorden aan datasoevereiniteit voor bedrijven tot reputatieschade kan leiden. Zeker als zij geen diensten meer kunnen leveren. Verder geeft 78 procent aan dat zij daarom nu standaard meerdere (cloud) service providers en ‘soevereine’ datacenters willen gebruiken. Ook voegen zij datasoevereiniteit toe aan hun vereisten voor data governance”, geeft de Field CTO EMEA aan.
Hybride benadering
Bedrijven hebben een drietal manieren om te reageren op de uitdagingen van datasoevereiniteit die op hen afkomen. Lherault: “In de eerste plaats kunnen zij hun hoofd in het zand steken en helemaal niets doen en hopen dat ze ‘veiligheid vinden in aantallen’. Dan zijn er die bedrijven die alles in
een datasoevereine omgeving stoppen en vervolgens kunnen zeggen dat ze volledig datasoeverein zijn.”
“Ten derde is er de hybride benadering, waarbij bedrijven op basis van data sets, criteria voor datasoevereiniteit en de soort data die ze verwerken bepalen naar wat voor omgeving deze toegaat. Een complete datasoevereine omgeving, een hierin gespecialiseerde cloudaanbieder, een private onpremisesomgeving of toch naar een public cloud.”
Pure Storage beveelt deze laatste benadering aan. “We willen graag dat bedrijven bij deze hybride benadering een aantal best practices uitvoeren.
Te beginnen met een risico-onderzoek naar welke data ze hebben en welke risico’s daarvoor zijn. Vervolgens het bepalen van hybride mogelijkheden, bijvoorbeeld bedrijfskritische data in soevereine omgevingen en andere niet-kritische data in public cloudomgevingen. Dit moet zowel datasoevereiniteit als flexibiliteit bieden.”
“Verder moeten zij datasoevereine aanbieders evalueren op juridische grondslag, operationele weerbaarheid en compliance aan bestaande en toekomstige wet- en regelgeving. Verder moeten zij deze aanbieders toetsen op data-exit. Vooral dat er hiervoor geen vendor lock-in aanwezig is voor data-portabiliteit.”
Lherault vervolgt: “Pure Storage vindt dat bedrijven op deze hybride benadering moeten inspelen. Bijvoorbeeld dat ze architecturen bouwen
TIPS
die bepaalde basisabstractielagen hebben die het verplaatsen van data en applicaties goed faciliteren en daarbij een datasoevereine component inbouwen. We gaan daarom ook meer ‘rebalancing’ tussen cloudomgevingen zien. Van private (on-premises) en public cloudomgevingen tot datasoevereine omgevingen.”
Rol channel partners
Channelpartners kunnen volgens de Field CTO Europe van Pure Storage een belangrijke rol vervullen voor het adresseren van het belang van datasoevereiniteit. “Zij kunnen hierbij absoluut helpen. Het is daarbij wel belangrijk dat zijzelf eerst hun kennis over de wet- en regelgeving rondom dit thema opfrissen. Het kan nu niet meer worden genegeerd.”
“Maar ze kunnen ook helpen bij het discovery-proces voor waar data zich bevinden en het hele proces rondom risicoanalyse. Idealiter kunnen zij hiervoor een soort consultancydiensten leveren die met deze processen helpen.”
“Verder kunnen ze ook een rol spelen in de daarop volgende fase voor het helpen van klanten met het bouwen van die nieuwe cloud-agnostische ‘enterprise data cloud-architecturen’ om de datasoevereiniteit te kunnen waarborgen.”
“Samenvattend kan je de rol van partners voor datasoevereiniteit zien als het zijn van (kennis)experts op dit gebied, het leveren van diensten en oplossingen hiervoor en het versimpelen van het hele traject voor hun eindklanten. Dat is wat ze moeten doen.”
• “In de eerste plaats moeten channel partners, zoals eerder aangegeven, zich goed voorbereiden op nieuwe wet- en regelgeving voor datasoevereiniteit.”
• “Daarnaast moeten ze echt helpen met het opzetten van een architectuur die het hun eindklanten mogelijk maakt de verschillende soorten data, zoals kritisch en niet-kritisch, in verschillende cloudomgevingen onder te brengen. Denk daarbij aan public cloud, datasoevereine cloud of verschillende vormen van private cloud.”
• “Last but, not least moeten zij de verschillende vormen van datasoevereine cloud die nu ‘op de markt’ komen grondig evalueren. Zodat zij uiteindelijk die optie kiezen die daadwerkelijk echte datasoevereiniteit garandeert.”
Fred Lherault