De Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) stelt dat cyberveiligheid een gezamenlijke taak is van veel wetenschapsvakken. De raad roept onderzoekers, bedrijven en overheid in Nederland op om hechter samen te werken. Dit is nodig door de snelle opkomst van kunstmatige intelligentie en strengere regels zoals de AVG en de Europese AI-verordening, met directe gevolgen voor de overheid. De boodschap verscheen recent op nwo.nl en richt zich op onderzoek én onderwijs.
NWO wil brede aanpak
Cyberveiligheid is niet alleen een kwestie van informatica. NWO benadrukt dat ook recht, psychologie, bestuurskunde, economie en ethiek nodig zijn. Zo ontstaan oplossingen die technisch kloppen én in de praktijk werken. Dat is cruciaal voor zorg, onderwijs en overheid.
Een veilige dienst vraagt meer dan goede code. Gebruiksgemak, gedrag en heldere uitleg horen erbij. Daarom zijn ontwerpers en taalwetenschappers nodig naast cryptografen en systeembeheerders. Ook organisaties als het Nationaal Cyber Security Centrum (NCSC) en gemeenten moeten vroeg meedenken.
NWO ziet meerwaarde in consortia waarin disciplines samen optrekken. Zo kan fundamenteel onderzoek sneller landen in beleid en producten. Op het moment van schrijven vragen verschillende NWO-programma’s al om samenwerking met bedrijven en overheden. Dat versnelt toepassing in de Nederlandse praktijk.
AI verandert dreigingsbeeld
Grote taalmodellen, zoals GPT-4o van OpenAI, Gemini van Google en Claude van Anthropic, veranderen aanvallen en verdediging. Een groot taalmodel is software die tekst voorspelt op basis van enorme hoeveelheden data. Criminelen kunnen hiermee overtuigende phishingmails of deepfakes maken. Tegelijk helpen dezelfde modellen bij snelle analyse en detectie.
Nieuwe aanvalstypen vragen nieuwe vaardigheden. Prompt-injectie is het misleiden van een model met verborgen instructies. Data poisoning is het vervuilen van trainingsdata om uitkomsten te sturen. Beide risico’s raken ook publieke chatbots en kennissystemen.
Verdediging vergt testen en tegenspel. Red teaming is oefenen met aanvallen om zwaktes te vinden, in gewone taal en met scenario’s. ENISA, het EU-agentschap voor cyberveiligheid, en NCSC-NL geven hiervoor richtlijnen. Bedrijven en overheden kunnen die nu al toepassen in pilots.
Wetgeving dwingt samenwerking
De Europese AI-verordening legt eisen op aan hoogrisico-systemen. Denk aan strengere regels voor data, uitleg, toezicht door mensen en robuustheid. Artikel 15 schrijft voor dat systemen veilig moeten zijn tegen manipulatie en fouten. Dat raakt ook modellen die beslissingen ondersteunen in zorg en werk.
NIS2 verplicht organisaties tot beter risicobeheer en het melden van incidenten. Op het moment van schrijven werkt Nederland aan invoering in nationale wetgeving. Verwacht wordt dat meer sectoren onder toezicht vallen. Dat vraagt om gezamenlijke aanpak tussen IT, juridische teams en bestuurders.
De AVG blijft kader voor privacy. Dataminimalisatie betekent: niet meer persoonsgegevens gebruiken dan nodig. Een Data Protection Impact Assessment (DPIA) is een risicoanalyse bij gevoelige verwerkingen. Versleuteling en pseudonimisering horen daar standaard bij.
Hoogrisico-AI-systemen moeten robuust en cyberveilig zijn, met passende bescherming tegen fouten, inconsistenties en aanvallen (Artikel 15, Europese AI-verordening).
Europese AI-verordening raakt overheid
Steeds meer Nederlandse overheden gebruiken chatbots en beslisondersteuning. Zij moeten hun systemen in een risicoklasse plaatsen en maatregelen treffen. Denk aan logboeken, uitleg in duidelijke taal en menselijk toezicht. Dit geldt ook voor inkoop van clouddiensten met ingebouwde AI.
Inkoop krijgt daardoor een nieuwe rol. Gemeenten en ministeries moeten leveranciers als Microsoft, Google of OpenAI vragen om documentatie en beveiligingstests. Een model card is een korte beschrijving van een AI-systeem, met doel, data en bekende beperkingen. Die informatie helpt bij toezicht en audits.
Er is hulp beschikbaar in Nederland. NCSC-NL geeft handelingsperspectief voor incidenten en preventie. SURF ondersteunt onderwijs en onderzoek met veilige infrastructuur. Op het moment van schrijven werken rijksdiensten met het Rijksalgoritmekader en groeit het gebruik van een algoritmeregister bij overheden.
Onderwijs mist vaardigheden
De vraag naar cyber- en AI-vaardigheden is groter dan het aanbod. Nederland heeft specialisten nodig die techniek, recht en menskant verbinden. Denk aan een informaticus die de AVG kan toepassen. Of een jurist die risico’s van datamodellen begrijpt.
Bijscholing is daarom nodig, ook in de publieke sector en het mkb. Training in veilig ontwikkelen van AI, waaronder de OWASP Top 10 voor LLM’s, helpt direct. Heldere checklists en oefencases werken het best. Zo groeit basiskennis in teams die besluiten nemen.
NWO, dcypher en de Nederlandse AI Coalitie kunnen partijen bij elkaar brengen. Open cursussen en gedeelde lesmateriaal verlagen de drempel. Publieke datasets en benchmarks moeten privacyvriendelijk zijn. Federated learning, leren zonder data te delen, kan daarbij helpen.
Van lab naar praktijk
Veel onderzoek strandt bij een proof-of-concept. De stap naar betrouwbare diensten in ziekenhuis, gemeente of fabriek is lastig. Testen in living labs met echte gebruikers maakt verschil. Zo komen veiligheid en gebruiksgemak samen.
Privacyvriendelijke technieken worden steeds beter toepasbaar. Pseudonimisering vervangt directe persoonsgegevens door schijngegevens. Versleuteling beschermt data tegen meekijken. Federated learning traint modellen lokaal en deelt alleen samengevatte uitkomsten.
Samenwerking met TNO, NCSC-NL, de politie en start-ups versnelt adoptie. Publiek-private afspraken over delen van incidentdata helpen leren zonder privacy te schenden. Leg eisen uit wetgeving, zoals AI Act en NIS2, vroeg vast in aanbestedingen. Dan wordt “security by design” echt standaard.
