E-proQure selectie nieuws inkoopdigitalisering

(Inter)nationaal inkoopdigitaliseringsnieuws januari 2023

De kennispartners van E-proQure selecteren maandelijks een aantal nieuwsberichten gerelateerd aan inkoopdigitalisering. In januari 2023 kwamen we de volgende interessante (inter)nationale berichten tegen:


Microsoft investeert $10 miljard in Artificial General Intelligence van OpenAI (ChatGPT; Dall E2)

In 2019 kondigt Microsoft de samenwerking aan met OpenAI. Een investering van $1 miljard en het beschikbaar stellen van het Azure platform moet OpenAI in staat stellen om “artificial general intelligence” (AGI) technologieën te ontwikkelen. Hiervoor is naast kapitaal tevens een geschikte (kostbare) technische infrastructuur nodig. [Lees hier meer over de initiële plannen]

Drie jaar later blijkt Microsoft hier wel bij te varen. OpenAI heeft de afgelopen jaren praktisch toepasbare AI-technologieën ontwikkeld die voor specialisten behoren tot het meest gecompliceerde spectrum van AI: de neurale netwerken. Het brede publiek heeft kennis kunnen maken met OpenAI’s ChatGPT. Een (iets meer dan) scriptie-generator die unieke verslagen produceert op basis van enkele aanwijzingen en zeer populair is onder scholieren en studenten.
Microsoft onderkent de geavanceerde kwaliteiten uit de keuken van OpenAI en heeft aangekondigd om additioneel $10 miljard te investeren. Dit moet leiden tot hardware en software oplossingen die als onderdeel van het Azure platform ingezet kunnen worden voor taken die slechts met een combinatie van de meest geavanceerde, beschikbare AI technologieën denkbaar zijn.

Via de onderstaande links vind je informatie over:
OpenAI, hun maatschappij-gerichte missie en AI producten
Doelstellingen en roadmap voor de komende periode


EU stelt Network and Information Security Directive 2 (NIS2) vast

De NIS2-richtlijn, of voluit de Network and Information Security Directive 2, is een Europese richtlijn die gericht is op het verbeteren van de cyberbeveiliging van essentiële diensten in de Europese Unie. De richtlijn is op 16 december 2022 in werking getreden en lidstaten hebben tot 17 oktober 2024 de tijd om de richtlijn om te zetten in nationale wetgeving.
De NIS2 is de opvolger van de eerste NIS-richtlijn, ook wel bekend als de NIB, die in Nederland in 2016 is opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni).
De NIS2-richtlijn breidt de reikwijdte van de eerdere richtlijn aanzienlijk uit. De NIS2-richtlijn is van toepassing op een breder scala aan essentiële diensten, waaronder: Energie; Vervoer; Water; Bankwezen; Financiële markten; Gezondheidszorg; Digitale infrastructuur.
De NIS2-richtlijn stelt eisen aan de beveiliging van netwerk- en informatiesystemen van essentiële diensten. Deze eisen omvatten onder meer:
– Het uitvoeren van risicobeoordelingen
– Het implementeren van passende beveiligingsmaatregelen
– Het melden van ernstige cyberincidenten aan de autoriteiten

De datum van effectuering van NIS2 (17 oktober 2024) heeft er tevens toe geleid dat de update van de cyberbeveiligingsrichtlijn BIO [lees hier het nieuwsbericht van januari 2021] naar BIO 2.0 eveneens gepland is op 17 oktober 2024.


Cyberspace Administration of China komt met 2de Informatie & AI wetgeving

In maart 2022 is in China de “Provision on the Management of Algorithmic Recommendations in Internet Information Services” van kracht geworden. De tweede Provision (of Deep Synthesis Internet Information Servicves) is op 10 januari van kracht geworden. Deze wetgeving is gericht op “deep synthesis” ofwel het gebruik van AI algoritmen om content te genereren. Aan de basis van de Provision staat de angst van de Communistische Partij voor deepfake.
De Provision stelt de volgende belangrijke vereisten:

Vanuit ideologische principes:
– “Respecteer sociale normen en ethiek”
– “Houd vast aan de juiste politieke richting, publieke opinie oriëntatie en waardentrends”

Specifieke verboden en eisen voor aanbieders van diepe synthese diensten:
– Produceer, publiceer of verzend geen “nepnieuws”
– Voer technische of handmatige beoordelingen uit van diepe synthese prompts en outputs
– Indien biometrische kenmerken van een persoon worden bewerkt, herinner gebruikers eraan om toestemming van de persoon te verkrijgen
– Voer interne of externe veiligheidsbeoordelingen uit als biometrische kenmerken worden bewerkt of inhoud wordt geproduceerd die “nationaal veiligheid” of “het imago van de natie” zou kunnen betreffen
– Vereist organisaties die “technische ondersteuning” bieden aan aanbieders van diepe synthese diensten om veiligheidsbeoordelingen uit te voeren en algoritmes in het algoritme-register vast te leggen

Watermerkvereisten voor dienstverleners:
– Alle gegenereerde of bewerkte inhoud moet een digitaal watermerk bevatten voor identificatie
– Als gegenereerde inhoud “verwarring kan veroorzaken of het publiek kan misleiden”, moeten aanbieders een “opvallend label op een redelijke positie” opnemen


Corporate Governance Code stelt Raden van Bestuur expliciet verantwoordelijk voor continuïteit ICT

Onlangs is de derde herziene versie van de Corporate Governance Code vastgesteld. Deze stelt onder andere dat bestuurders expliciet verantwoordelijk zijn voor de continuïteit van de ICT-omgeving. Bij beursgenoteerde ondernemingen dient hierover een risicoparagraaf te worden opgenomen in het jaarverslag. Hierbij dienen risico’s en maatregelen te worden benoemd die een belangrijke invloed hebben op de resultaten en continuïteit van de onderneming. Andere organisaties worden aangeraden hierover in een jaarverslag te rapporteren. De expliciete opname in de CGC betekent echter ook voor andere organisaties dat bij eventuele (gerechtelijke) discussies over de kwaliteit van het gevoerde bestuur over een organisatie, ook de mate van beheersing van ICT-risico’s een rol kan spelen.
De vernieuwde Corporate Governance Code kan hier worden gedownload.


De Autoriteit Persoonsgegevens maant overheden tot betere afspraken met Clouddiensten

De Europese privacy-toezichthouder EDPB heeft via de nationale privacy-toezichthouders overheden aangesproken op het verplicht toepassen van de zogenaamde Gegevensbeschermingseffectbeoordeling. Ook bekend als Data Protection Impact Analysis (DPIA). Deze omvat mede de technische en organisatorische maatregelen om risico’s op datalekken te beperken bij het gebruikmaken van clouddiensten. Zoals het contractueel vastleggen van specifieke afspraken hierover. Een door het EDPB opgestelde lijst met aanbevelingen bevat tevens het advies om clouddiensten te controleren op naleving van gemaakte afspraken.
De AP concludeert in een eigen rapport dat in Nederland het gebruik van een beoordeling gemeengoed is. Één van de aanbevelingen voor de Nederlandse praktijk die wordt meegegeven is dat ministeries de wijze waarop privacy wordt meegenomen in het inkoopproces wordt geüniformeerd.

Dat de aandacht van toezichthouders zich niet alleen richt op overheden is bekend (zie volgende nieuws-item). Organisaties die niet zeker zijn over de mate waarin of de wijze waarop de nakoming van AVG richtlijnen is geborgd bij het gebruik van clouddiensten kunnen de eerder genoemde DPIA als referentie gebruiken. Of was het gebruik hiervan al verplicht?


Privacy schending leidt tot mega-boete voor Meta

Ierse privacy-toezichthouder DPC legt twee boetes van in totaal € 390 miljoen op aan Meta vanwege het schenden van privacyregels door de dochterondernemingen Facebook en Instagram. Verder moeten de activiteiten van beiden binnen 3 maanden voldoen aan de AVG. De boete valt hoger uit dan het DPC in eerste instantie wilde opleggen. Dit komt door aanwijzingen vanuit het Europese Comité voor Gegevensbescherming (EDPD) dat ervoor moet zorgen dat Europese privacyregels in de gehele EU op eenzelfde wijze worden gehandhaafd. Op basis van reeds opgelegde boetes en nog lopende onderzoeken houdt Meta zelf voor de jaren 2022 en 2023 rekening met een totaal van € 3 miljard aan boetes. Mega heeft zoals gebruikelijk aangegeven in beroep te gaan. Aandeelhouders hebben echter weinig vertrouwen in een goede afloop. Ze verwachten dat de advertentie-inkomsten verder zullen dalen. De beurskoers van Meta blijft onder druk staan. Tezamen met de vele, nog lopende onderzoeken en reeds opgelegde boetes is duidelijk dat de EU serieus werk maakt van het naleven van de Europese privacyregels door (ook) de grote tech-bedrijven.


Techbedrijven sorteren met ontslagrondes voor op verwachte recessie

Grote techbedrijven als Google (waaronder merken als Alphabet, Android, YouTube, Google Cloud en DeepMind), Microsoft, Meta en Salesforce hebben onlangs grote ontslagrondes beleeft of aangekondigd. Naast de respectievelijk 12.000, 11.000, 11.000 en 8.000 ontslagen hebben ook andere bedrijven als Cisco, Citrix, Intel en Twitter aangegeven (verdere) ontslagen te verwachten. De techbedrijven reageren hiermee op dalende investeringen door klanten en de verwachting dat de wereldeconomie verder onder druk komt. Deze verwachting komt overeen met één van de inkooptrends voor 2023 die luidt dat inkopers te maken krijgen met de gevolgen van een dalende afzet voor hun eigen organisatie.


Scroll naar boven