1 jun
1 juni 2026

Workshops gezamenlijke netwerkdag: AI & leveranciersmanagement, IAM en digitale soevereiniteit

Hoe houdt een mbo-instelling grip op haar digitale omgeving? Drie van de vijftien workshops op de gezamenlijke netwerkdag draaiden – elk vanuit een andere invalshoek – om deze vraag. Ze werden ze verzorgd vanuit het programma Cyberveiligheid mbo, maar raakten ook aan thema’s waar de netwerken Informatiemanagement, Architectuur en IBP elkaar kunnen versterken.

Leveranciersmanagement, AI en sectorale inkoopvoorwaarden

Door Ronald Kollen en Jack Le Doux

Hoe houd je regie nu de AI-ontwikkelingen elkaar in hoog tempo opvolgen? En hoe voldoe je aan de AI-verordening, die eisen stelt aan transparantie, datakwaliteit en risicobeheersing? Volgens Ronald Kollen (informatiemanager bij Firda) en Jack Le Doux (adviseur Informatiebeveiliging en Privacy bij het programma Cyberveiligheid) begint die uitdaging al bij de inkoop. Beiden benadrukken dat ze géén jurist en géén inkoper zijn – ze kijken vooral vanuit de praktijk van een mbo-instelling die hier dagelijks mee te maken heeft.

Twee vragen

De sessie opent met twee vragen. De eerste: moet een instelling kunnen eisen dat AI-functionaliteit uitgeschakeld wordt? De meeste deelnemers vinden van wel: je moet regie kunnen houden. Maar er volgen ook direct nuanceringen: wat als AI de kern van een nieuw product wordt? En wat als AI in machines zit waarover je geen volledige controle hebt? De vraag vraagt dus vooral om meer context. Bij de tweede vraag – wie is verantwoordelijk als AI foutieve studieadviezen ondersteunt? – blijkt al snel dat deze verantwoordelijkheid niet makkelijk te bepalen is. En dat je er als instelling alles aan moet doen om verkeerde studieadviezen te voorkomen.

Niet alles dichttimmeren

De rode draad in de workshop: timmer niet alles dicht, want dan blokkeer je innovatie. Ronald en Jack pleiten voor het combineren van strak leveranciersbeheer met lichtgewicht, iteratieve governance: continu monitoren, leren en bijsturen. Ook moet duidelijk zijn dat niemand de AI-governance alleen op zijn of haar bord kan krijgen. In de mbo-praktijk gaat het vaak om een-tweetjes tussen inkoop, de privacy officer, IBP, security en juridisch. Een deelnemer geeft aan dat hij bij zijn instelling proceseigenaar van zo’n keten is.

Wettelijke kaders

Aan kaders ontbreekt het niet. De AI-verordening regelt verantwoord gebruik en ontwikkeling van AI met het oog op veiligheid, grondrechten en vertrouwen van burgers. De Data Act stelt regels voor eerlijk delen, gebruiken en beschikbaar stellen van data om innovatie, concurrentie en gebruikerscontrole te bevorderen. Voor het onderwijs gelden vier hoogrisicoverwerkingen, plus twee als werkgever. Let op: als je als instelling zelf aanbieder van AI wordt, krijg je te maken met strengere verplichtingen!

Regie via inkoop

Inkoop is volgens Ronald en Jack een belangrijk instrument om de abstracte wetgeving te vertalen naar afdwingbare afspraken. Hiermee kun je verantwoordelijkheden, normen voor informatiebeveiliging en regels voor datagebruik vaststellen, inclusief de ruimte om gedurende het contract bij te sturen. Dat is bij AI-toepassingen extra belangrijk, omdat algoritmen en datastromen vaak verborgen risico’s bevatten.

Inkoopvoorwaardenkader voor het mbo?

GIBIT 2025 is een door gemeenten ontwikkeld en juridisch getoetst inkoopvoorwaardenkader met expliciete bepalingen voor AI. Als we deze aanpassen voor de mbo-praktijk kunnen we juridische kosten verlagen, efficiëntere inkoopprocessen mogelijk maken en aansluiten op sectorspecifieke risico’s en brancheafspraken. Ze versterken bovendien de samenwerking in de keten.

De deelnemers kunnen bijdragen aan dat inkoopvoorwaardenkader voor het mbo. Op post-its kunnen ze aangeven op welke punten ze zich zorgen maken als het gaat om AI en data in leveranciersrelaties. En welke onderwerpen de mbo-sector gezamenlijk moet vastleggen in inkoopvoorwaarden of standaarden. Op basis van de input onderzoekt het programma vervolgstappen rond sectorale inkoopvoorwaarden, gebaseerd op GIBIT 2025, bijvoorbeeld met een werkgroep. Geïnteresseerden kunnen zich aanmelden via het team van programma Cyberveiligheid mbo.

We hebben de deuren op slot — maar wie heeft de sleutels?

Door Henry Meutstege

Odido, Basic Fit, TU Eindhoven: dit jaar waren er al meerdere grote cybersecurity-incidenten in het nieuws. Bij alle drie was onvoldoende logisch toegangsbeheer de directe oorzaak. Henry Meutstege opent zijn workshop met deze observatie, en met de constatering dat ook bij veel mbo-instellingen het beheer van identiteiten en rechten een zwakke schakel is. ‘We hebben de deuren en ramen technisch goed op slot, maar we hebben vaak geen idee wie de sleutels heeft.’

Voorkomen dat iedereen overal bij kan

Het patroon achter de genoemde hacks is veelzeggend: technisch was de boel best op orde, maar via social engineering van een servicemedewerker kregen aanvallers toegang tot hele klantendatabases. Daar zit ook het probleem: een servicemedewerker hoeft helemaal niet bij de volledige database te kunnen. In analogie geldt in het mbo: niet elke docent hoeft in het Student Informatie Systeem (SIS) bij álle cijfers en gegevens van studenten te kunnen.

Het fundament moet kloppen

Henry definieert logisch toegangsbeheer (internationaal Identity and Access Management, IAM) als de processen, technologieën en afspraken die bepalen wie toegang heeft tot wat, wanneer en onder welke voorwaarden. IAM werkt volgens hem alleen als het fundament klopt:

  • Bronsystemen op orde: HRM voor medewerkers, SIS voor studenten en aparte registraties voor externen.
  • Datakwaliteit en eigenaarschap: actuele en volledige gegevens, met eigenaarschap belegd bij HR of de onderwijsadministratie.
  • Attributen en autorisatiematrix: IAM beslist op attributen (rol, afdeling, locatie, start- en einddatum) en een matrix koppelt die attributen aan rechten.

De keten loopt dus van betrouwbare brondata via juiste attributen en een vastgesteld rechtenmodel naar gecontroleerde toegang. Een functiehuis kan een mooie basis bieden, maar Henry geeft een waarschuwing mee: ‘Ga dat huis tijdens een IAM-traject niet ingrijpend wijzigen. Voor je het weet duurt de implementatie jaren.’

Gebruik beschikbare templates en handreikingen

Vanuit het programma Cyberveiligheid mbo is veel materiaal beschikbaar. SURF biedt templates voor onder meer identiteits- en toegangsbeheer, het toekennen en intrekken van autorisaties, autorisatiebeheer en controle en een autorisatiematrix, en handreikingen voor wachtwoordenbeleid en wachtwoordkluizen. Ook is er een mbo-beleidsdocument afgeleid van die SURF-templates dat via het netwerk IBP wordt gedeeld en de Handreiking Identity and Access Management van MBO Digitaal. Ook leveranciers Eduarte en Osiris hebben standaard autorisatiematrixen, en het programma Cyberveiligheid werkt aan een autorisatiematrix op basis van de referentierollen uit de MORA. Lang niet alle deelnemers weten dat deze materialen al klaarliggen.

Netwerken versterken elkaar in werkgroep IAM

Henry sluit af met een oproep. ‘Sluit je aan bij de IAM-werkgroep, waarin we bijvoorbeeld best practices delen en werken aan concrete templates en procedures. Vanuit het netwerk IBP zoeken we nadrukkelijk ook collega’s uit de netwerken Informatiemanagement en Architectuur. Want IAM is precies een onderwerp waar we elkaar kunnen versterken.’

Quickscan soevereiniteit

Door Rob Vos

Bij veel instellingen is digitale soevereiniteit een onderwerp van gesprek, vooral als het gaat over de vraag waar de data staat. Tegelijk constateert Rob Vos, strateeg Digitalisering bij Rijn IJssel en het programma Cyberveiligheid dat veel instellingen nog geen beleid hebben op dit gebied. ‘Minder afhankelijk worden van grote leveranciers kost tijd en geld, en het is op de meeste agenda’s geen hot item.’ Eén deelnemer noemt als praktijkvoorbeeld het inregelen van de maatregelen uit de DPIA voor Copilot.

Groeiende urgentie

Dat de urgentie wel groeit, is volgens Vos af te lezen aan de cijfers en aan recente gebeurtenissen. Zo’n 92 procent van de westerse data wordt gehost in de Verenigde Staten, slechts 4 procent in Europa. En de overname van Solvinity door Kyndryl heeft vragen losgemaakt over uitbesteding van IT-beheer in de publieke sector. Wie heeft de macht over voorzieningen als DigiD en MijnOverheid bij een buitenlandse overname?

Wat is digitale soevereiniteit eigenlijk?

Digitale soevereiniteit gaat volgens Vos over zeggenschap, invloed, regie, keuzevrijheid én de innovatiekracht die je in een verder digitaliserende wereld nodig hebt. Hij maakt daarbij onderscheid tussen vier samenhangende vermogens:

  • Digitale zeggenschap: het vermogen om zelfstandig beslissingen te nemen en uit te voeren over het gebruik, beheer en de verwerking van digitale middelen en data.
  • Digitale regie: het vermogen om digitale middelen en dataprocessen actief te sturen, beheren en coördineren op basis van eigen doelen, verantwoordelijkheden en risico’s.
  • Digitale invloed: het vermogen om digitale systemen, leveranciers, standaarden en beleidskaders mee vorm te geven en te sturen, óók wanneer de directe beslissingsmacht beperkt is.
  • Digitale keuzevrijheid: het vermogen om tussen digitale alternatieven te kiezen en indien nodig over te stappen, dankzij interoperabiliteit, open standaarden en beperkte afhankelijkheden.

Soevereiniteit of autonomie?

Rob benadrukt het onderscheid tussen soevereiniteit en autonomie. Soevereiniteit betekent dat je mág beslissen, en is een kwestie van recht, gezag en formeel kader. Autonomie betekent dat je het ook kúnt. Het gaat hier over het praktisch vermogen om beslissingen daadwerkelijk uit te voeren. Beide horen bij risicobeoordeling, maar ook bij visievorming. ‘Volledige onafhankelijkheid kost veel tijd en middelen en is in de praktijk vaak niet haalbaar. Het is relevanter om je af te vragen of je wil dat Microsoft of vergelijkbare partij jouw waarden bepaalt.’

De aanpak van een hbo-instelling

Een deelnemer uit het hbo deelt hoe haar instelling probeert het onderwerp op de bestuursagenda te krijgen, mede onder druk van activistische docenten. Dat komt vooral neer op het gesprek op gang brengen, risicoafwegingen maken en kleine stappen zetten richting meer onafhankelijkheid. ‘Vraag je af welke risico’s je accepteert en welke zeker niet. Welke mitigerende maatregelen kun je dan inzetten?’

Quickscan om gesprek aan te gaan

De Quickscan soevereiniteit is precies voor die gesprekken bedoeld. De scan meet hoe effectief een leverancier de data, processen en stabiliteit van een organisatie beschermt tegen ongewenste invloeden van buitenaf. Op tien thema’s beantwoord je voor elke applicatie zo’n dertig stellingen, met als resultaat een soevereiniteitsprofiel. Dit profiel maakt inzichtelijk welke risico’s je als instelling loopt.

Tool in ontwikkeling

De Quickscan soevereiniteit is nog in ontwikkeling. In de sessie wordt duidelijk dat sommige vragen voor meerdere uitleg vatbaar zijn en dat de uitkomst mede afhangt van wie (welke functie) de scan invult. De feedback is precies waar Rob op hoopte, want zo ‘maken we de scan samen steeds beter’. De scan is ook bewust minder gedetailleerd dan andere instrumenten. ‘Te veel technische diepgang werkt averechts als je het gesprek wilt aangaan met HR-afdelingen, besturen of andere niet-IT’ers. Het doel is niet om de perfecte meting te doen, maar om het gesprek over soevereiniteit te starten. Daar liggen de eerste stapjes naar bewuster beleid voor soevereiniteit en autonomie.’

Categoriën & Tags

Netwerk IBP
, , , , ,
Reacties (0)
Geef een reactie