Magnifying glass Close

Adblocker is geactiveerd!

Op deze website worden advertenties getoond. Van de advertenties wordt de redactie betaald. De redactie verzorgt het nieuws op deze website. Zonder advertenties geen nieuws. Zou je je adblocker daarom willen uitschakelen

Partner van Inkoperscafé:

Blockchain moet fraude bij aanschaf schoolmaaltijden verminderen

In Colombia loopt een proef om te zien of blockchaintechnologie de corruptie bij de inkoop van schoolmaaltijden kan verminderen. De proef werkt met blockchain om leveranciers te selecteren en te volgen voor het schoolmaaltijdenprogramma van Colombia voor jongeren met een laag inkomen. Dit Programa de Alimentación Escolar was het middelpunt van diverse corruptieschandalen met hoge prijzen en het niet bezorgen van tientallen miljoenen maaltijden. Zo bericht het Britse Supply Magazine.

Het World Economic Forum (WEF) werkt samen met het bureau van de Colombiaanse inspecteur-generaal, de National University of Colombia en de Inter-American Development Bank om te komen tot een ​​op Ethereum gebaseerd blockchain-systeem voor openbare aanbestedingen. Het WEF verwijst hierbij naar cijfers van de VN en de OESO die schatten dat tien tot dertig procent van de totale waarde van een overheidsopdracht vaak verloren gaat aan corruptie. Volgens het forum kan het beperken van corruptie bij aanbestedingen een van de meest effectieve economische maatregelen zijn die een land kan nemen.

Fraudebestendige registratie
Blockchain maakt permanente en fraudebestendige registratie mogelijk door het moeilijker te maken om vastgelegde biedingen en openbare opmerkingen te verwijderen of om biedingen of offertes te wijzigen zodra ze zijn ingediend. Kopers en verkopers kunnen biedings- en evaluatieprocessen uitvoeren op het Ethereum-platform, terwijl journalisten en burgers risicovolle activiteiten kunnen volgen en markeren. Hierbij bevat de software functies zoals minimumbiedingen, openbare commentaarperioden en automatische rode vlaggen om de autoriteiten te waarschuwen voor mogelijke corruptie.

Bron: Supply Magazine

Partner van Inkoperscafé:

Mkb’ers leunen voor cybersecurity te veel op IT-leverancier

Onderzoek door de beheerder van de .nl-domeinnamen SIDN laat zien dat tachtig procent van de mkb’ers voor zijn cybersecurity grotendeels vertrouwt op hun IT-leverancier. Dit steekt sterk af tegen de 58 procent van IT-leveranciers die vinden dat hun mkb-klanten onvoldoende bescherming hebben. Dat is zorgelijk, omdat het aantal mkb-slachtoffers van cybercriminaliteit de laatste twaalf maanden van 19 naar 22 procent steeg. Zo meldt Brisk Magazine.

De meeste van de bijna zeshonderd ondervraagde mkb’ers gaan ervan uit dat hun IT-beheerder een bepaalde zorgplicht heeft en hen daarmee ook beschermt tegen cyberrisico’s. Het past ook bij een actuele uitspraak van de rechtbank Amsterdam dat klanten van een IT-leverancier mogen verwachten dat de beveiliging van een geleverde dienst onderdeel van de afspraak is. Uit eerder onderzoek van Centraal Beheer blijkt echter dat in maar 22 procent van de gevallen mkb-ondernemingen en IT-leveranciers echt afspraken hebben gemaakt over de cybersecurity. Dat lijkt te hoge verwachtingen van mkb’ers aan te geven over de bescherming tegen cybercrime door hun IT-leverancier. Wel moeten IT-leveranciers de beveiliging van hun product dus op orde hebben, ook als een klant daar niet expliciet om verzoekt.

Cybercriminaliteit
“Het is beter om juridisch getouwtrek te voorkomen en duidelijke afspraken te maken over wie (mede-)verantwoordelijk is voor de cybersecurity van bepaalde IT-diensten. Voorkomen is nog altijd beter dan genezen”, aldus Alex van Wijhe, Business developer CyberSterk bij SIDN. Volgens het onderzoek door SIDN ontbreekt het gevoel van urgentie om digitaal beschermd te zijn nog bij een te grote groep mkb-ondernemers. Van Wijhe: “Slechts dertig procent van de ondervraagde directieleden maakt zich druk over cybercriminaliteit. Over personeelsbezetting en het voldoen aan wet- en regelgeving maakt men zich meer zorgen. Opvallend is verder dat 72 procent van de ondernemers cybercriminaliteit maar in beperkte mate als bedreigend beschouwt voor zijn bedrijf.” De beschermingsmaatregelen van mkb-bedrijven zijn meestal basaal. 62 procent heeft bijvoorbeeld een gedegen antivirusprogramma, 52 procent een sterk spamfilter en 47 procent voert regelmatig updates uit.

Bron: Brisk Magazine

Partner van Inkoperscafé:

"Blockchain is een democratisering van vertrouwen"

Met de leveringsproblemen tijdens de coronacrisis is het toepassen van blockchain in toeleveringsketens en de inkoop actueler dan ooit. Wat heeft het ‘opdelen van ketens in blokken’ de wereld te bieden? Deskundige Achraf Talhaoui vertelt er graag meer over.

Achraf Talhaoui is managing partner bij inkoopadviesbureau Qando en werkt veel met blockchain. Daarnaast geeft hij workshops en trainingen over blockchain en over de impact ervan op de inkoop. “Blockchain is een veelbelovende technologie die eigenlijk nog in de kinderschoenen staat”, vertelt hij. Het is volgens Talhaoui vergelijkbaar met de opkomst van het internet. “Eerst was er een hype, gevolgd door mislukkingen en onderschatting en daarna brak het door. Datzelfde verwacht ik bij blockchain.” Hij stelt dat het bij blockchain gaat om een andere manier van organiseren van vertrouwen. “Internet was een democratisering van informatie en blockchain is een democratisering van vertrouwen.”

Achraf Talhaoui, managing partner bij inkoopadviesbureau Qando

Gedigitaliseerd vertrouwen
In feite gaat het volgens Talhaoui bij blockchain om een nieuwe manier van samenwerken, zonder vertrouwen. “Inkoop gaat uit van een minimaal vertrouwen en een maximumcontrole met checks and balances. Een goed ingerichte blockchain zorgt ervoor dat dit niet meer nodig is. De technologie maakt een gezamenlijke database en een gezamenlijk huishoudboekje mogelijk. In het blockchainsysteem is verwerkt dat alle betrokken partijen toestemming moeten geven voor transacties en wijzigingen. Normaal is bij zakelijke transacties een neutrale derde partij nodig, zoals een kadaster of een bank. Blockchain maakt zo’n derde partij overbodig. Het systeem dwingt af dat je geen vertrouwensvraag hoeft te stellen. Wat daaraan bijdraagt, is dat het heel veilig is. De bitcoin is gebaseerd op blockchain en is sinds het ontstaan in 2008 nooit gekraakt.”

Herleidbaarheid
De herleidbaarheid van wijzigingen van data en daarmee de herkomst van producten is dus een duidelijke meerwaarde van blockchain. Talhaoui geeft als voorbeeld een user case in de diamantindustrie. “Vertrouwen is daar erg belangrijk, vanwege de vele fraudemogelijkheden en de zogeheten bloeddiamanten. Dat zijn diamanten die uit oorlogsgebieden komen. De controle op de diamantenhandel verliep altijd via allerlei certificaten. Hierbij werd naar vier eigenschappen van diamanten gekeken: kleur, slijpvorm, helderheid en karaat (gewicht). Everledger heeft nu in een blockchain maar liefst veertig eigenschappen van diamanten vastgelegd in een database. De blockchain maakt het mogelijk om de complexe administratie hiervan goed bij te houden. Het moet ook fraude voorkomen. Het is technologisch onmogelijk om diamanten uit de database van Everledger te halen. Iedere wijziging wordt vastgelegd. De mijnen moeten nog wel fysiek worden bezocht voor controles. Dat bepaalt of zo’n mijn mee mag doen aan de database.” Deze aanpak is succesvol. “De diamanten uit het blockchainsysteem brengen twintig procent meer op dan diamanten van erbuiten. Voor andere luxeproducten, waaronder zelfs wijnen, is eenzelfde aanpak mogelijk.”

Er moet een keten bij betrokken zijn van externe partijen die de blockchain vertrouwen. Dat vraagt om een gezamenlijk doel en commitment.

Achraf Talhaoui

Kostenbesparingen
Daarnaast kan blockchain volgens Talhaoui grote kostenbesparingen opleveren. Als voorbeeld geeft hij containervervoer door de Maersk-rederij. “Het verschepen door Maersk van een container met avocado’s van Mogadishu naar Rotterdam kostte tweeduizend dollar, waarvan driehonderd dollar voor administratieve handelingen. Er waren alleen al dertig stempels en handtekeningen nodig met in totaal tweehonderd interacties. Met blockchain is dit allemaal in één gezamenlijk systeem gekomen. Het betekent een snellere en veiligere doorloop met minder papierwerk. Hierdoor zijn de kosten enorm gedaald naar dertienhonderd dollar per container. Dat betekent dus zevenhonderd dollar voordeel per container. Maersk vervoert in totaal zeventig miljoen containers per jaar, dus dat levert een enorme kostenbesparing op. Het geeft Maersk een groot concurrentievoordeel. Bovendien leidt het ook tot veel meer transparantie, omdat de klant precies kan zien wat er gebeurt.”

Dat laatste wordt nog versterkt doordat Maersk sensoren in de containers gebruikt. “Die kunnen bijvoorbeeld registreren wanneer een container open en dicht gaat en wat de temperatuur en luchtvochtigheid in de container zijn. Zo kunnen de verzender en ontvanger tijdens het vervoer afwijkingen opmerken en daar tijdig wat aan doen.”

Coronacrisis
In relatie tot de coronacrisis is de herleidbaarheid van producten volgens Talhaoui een groot pluspunt. “Het is gebleken hoe belangrijk het is om informatie te hebben over de kwaliteit van producten en de gebruikte materialen. Denk aan de inkoop van mondmaskers. Door de crisis was niet meer duidelijk welke partners betrouwbaar waren, waardoor partijen ondeugdelijke mondkapjes werden ingekocht. Een ministerie van Volksgezondheid, Welzijn en Sport kan harde eisen stellen aan de levering van zulke artikelen door leveranciers te verplichten om blockchain te gebruiken.”

Succesvolle blockchain
Talhaoui benadrukt dat blockchain schaal nodig heeft om succesvol te zijn. “Er moet een keten bij betrokken zijn van externe partijen die de blockchain vertrouwen. Dat vraagt om een gezamenlijk doel en commitment. Bovendien moet iedereen dezelfde administratieve rechten hebben.” Daarnaast moet je volgens hem de blockchain kunnen toetsen aan een bestaande businesscase.

Hij onderstreept verder dat het toepassen van de juiste technologie van belang is. “Qua beveiliging is blockchain waterdicht en solide door de toepassing van encryptie en hashing. De menselijke inzet bij het opzetten van de blockchain is echter wel een risico. Verder is er meer uitwisseling nodig tussen de verschillende blockchainsystemen, van open source tot blockchain-frameworks van softwarebedrijven.” Daarnaast doen de ketenpartners er goed aan om de betalingsmogelijkheden van blockchain te benutten. “Iedere keten kan in principe kiezen voor een eigen gezamenlijke cryptomunt. Nu moet je soms meerdere keren wisselen van munteenheid om te betalen. Met een gezamenlijke munteenheid hoef je maximaal een keer te wisselen. Dat scheelt veel transactiekosten.”

Een breed gedragen standaard blockchain-toepassing voor leveranciersmanagement is volgens Talhaoui hard nodig. “Ik denk dan aan een community die alle informatie op één marktplaats bijhoudt. Het gaat dan om zaken als wie een betrouwbare zakenpartner is en wat iemands betalingsgedrag is. Nu moet je dat allemaal apart natrekken.”

Hij ziet een mooie toekomst weggelegd voor blockchain. “Binnen inkoop wordt blockchain nog maar mondjesmaat toegepast, maar dat gaat toenemen. Voor de toekomst zie ik user cases in alle branches, zowel profit als non-profit.”

Wat is blockchain eigenlijk?
Blockchain is een tussen (al dan niet vele) partijen
gedeeld, gemeenschappelijk en niet te veranderen en niet te vervalsen register. Hierin worden transacties vastgelegd en kunnen partijen producten op de voet volgen. Blockchain bestaat uit verschillende technologieën en dankt de naam aan de wijze waarop transactiedata worden opgeslagen in blokken, die op hun beurt een keten vormen.

Partner van Inkoperscafé:

Hoe CTM Solution de wereld van het e-aanbesteden veroverde

Vroeger racete je voor de deadline naar het gemeentehuis en deponeerde je je documenten daar in de brievenbus. Foutje gemaakt? Niets meer aan te doen. Tot elektronisch aanbesteden zijn intrede deed en zelfs verplicht werd gesteld. Nu is e-aanbesteden niet meer weg te denken. Niet alleen voor de professionele inkoper, maar ook voor de ‘gelegenheidsaanbesteder’. Marijn de Leeuw, oprichter van CTM Solution, speelde precies op tijd in op deze trend.

CTM Solution is distributeur van CTM software in de Benelux. CTM – Complete Tender Management – is oorspronkelijk gebouwd door het Zweedse IT-bedrijf EU-Supply. Toen De Leeuw in 2002 in aanraking kwam met CTM zag hij meteen kansen. Waar andere software-aanbieders tendermanagement ‘erbij deden’, werd er bij CTM met tien man doorlopend aan tendermanagementsoftware gewerkt. Toen de Europese Commissie in 2004 aankondigde minstens vijftig procent van de aanbestedingen digitaal te willen laten verlopen en alle lidstaten zich daaraan committeerden, besloot hij niet lang daarna CTM Solution op te richten.

Marijn de Leeuw, oprichter van CTM Solution

Daarna volgde een eerste pilot uit bij de gemeente Haarlem voor de inkoop van koffieautomaten. Meer overheidsinstanties gingen aan de slag met het systeem: ministeries, gemeenten en provincies. “Niemand die startte met digitaal aanbesteden is gestopt”, zegt De Leeuw. “Digitaal aanbesteden heeft zich bewezen als middel om rechtmatigheid te kunnen waarborgen tijdens een aanbesteding. Je legt alles vast.” Ook gingen transactiekosten omlaag, zoals de Europese Commissie destijds voorspelde. Inmiddels is CTM het voorgeschreven platform in diverse Europese landen, zoals Ierland, Litouwen en Noorwegen. 

Elektronisch inkopen ook voor incidentele aanbesteders
De Leeuw ziet dat er een steeds grotere behoefte is aan eenvoudig elektronisch aanbesteden. “Digitaal aanbesteden is altijd het feestje geweest van de professionele inkoper. Die wil altijd meer en meer functionaliteiten, maar ook de incidentele inkopers zouden idealiter gebruik maken van die tools.” Dan is gebruiksvriendelijkheid van belang. Daarom biedt CTM niet alleen geavanceerde software aan, maar ook eenvoudige, stap-voor-stap modules voor diegenen die af en toe gebruik maken van het platform. Er is ook grote vraag naar software voor contractmanagement in combinatie met aanbesteden. De Leeuw: “Wij bieden een modulair uitbreidingsformat waarin dat kan worden opgenomen. Dat onderscheidt ons echt van een platform als TenderNed.”

Digitaal aanbesteden is altijd het feestje geweest van de professionele inkoper. Die wil altijd meer en meer functionaliteiten, maar ook de incidentele inkopers zouden idealiter gebruik maken van die tools.

Marijn de Leeuw

De toekomst van TenderNed
De toekomst van TenderNed is nog onzeker. Vorig jaar onderzocht Atos in opdracht van het ministerie van Economische Zaken en klimaat welke alternatieven er waren voor het steeds duurder wordende platform. Atos adviseerde het kabinet TenderNed geheel of gedeeltelijk uit te faseren. Het is nog niet duidelijk wat er gaat gebeuren met TenderNed. Er moet eerst een wetswijziging doorgevoerd worden voordat systemen zoals CTM de taak van TenderNed over kunnen nemen. De Aanbestedingswet schrijft namelijk voor dat de Nederlandse overheid het voorgeschreven systeem in beheer moet hebben. Naar verwachting duurt het nog jaren voor die wetswijziging doorgevoerd is.

Dat betekent niet dat De Leeuw en zijn collega’s stil hebben gezeten. Ze brachten een gratis versie van CTM op de markt: CTM Lite. Hiermee kunnen aanbestedende diensten die over willen stappen van TenderNed naar een ander systeem toch gebruik maken van een alternatief, zonder extra kosten te maken. Steeds meer overheidsinstanties stappen af van TenderNed, zegt De Leeuw. “TenderNed is een prima systeem, maar de markt wil meer dan alleen dat basissysteem, tegen minder kosten. De centrale overheid was voorheen verplicht om met TenderNed te werken. Inmiddels geldt die verplichting niet meer en kiezen veel ministeries voor ons platform. Dat zegt wel iets.”

Op 9 juli organiseert CTM Solution een webinar over CTM Lite. Aanmelden kan hier.

CTM Solution is partner van Inkoperscafe.nl

Partner van Inkoperscafé:

Bijna alle bedrijven gebruiken digitale technologie bij inkoop

Volgens onderzoek van Chartered Institute of Procurement & Supply (CIPS) en de Universiteit van Melbourne gebruikt ruim 95 procent van de ondervraagde bedrijven minimaal één digitale technologie voor hun inkoop- en leveringspraktijk. Cloud computing, big data en internet of things staan daarbij voorop. Zo bericht het Britse Supply Management.

Het onderzoeksrapport geeft ook aan dat meer dan veertig procent van de bedrijven vindt dat de kosten de grootste belemmering vormen bij het overnemen van digitale technologieën. Dat betreft dan de technische opzet, opleiding en voortdurende ondersteuning. Daarnaast noemen de deelnemende inkoop- en supply chain-professionals kosteneffectiviteit als het belangrijkste voordeel van het gebruik van digitale technologieën (19 procent). Dit wordt gevolgd door real-time capaciteit (18 procent), behendigheid en transparantie (17 procent).

Enorme digitale hiaten
Beveiliging is een zorg voor inkoopprofessionals bij het implementeren van technologie en moet volledig worden meegenomen bij het opstellen van de businesscase voor digitalisering. Daarnaast noemen ze als uitdagingen onder andere een gebrek aan organisatiebrede coördinatie en werkprocessen en weerstand tegen verandering. Volgens Malcolm Harrison, CEO van de CIPS-groep, zijn er enorme hiaten in digitale capaciteiten in alle sectoren. “Training en begrip ontwikkelen is dus een cruciale eerste stap. Het vervolgens kunnen afstemmen van digitale transformatie op bedrijfsbehoeften, alle belangrijke afdelingen betrekken bij de planning en uiteindelijk verantwoording van ‘return on investment’ (ROI), betekent dat digitale supply chain-transformatie een grotere kans van slagen heeft. ”

Pas op voor technologische hypes
Daniel Samson, professor en co-hoofdredacteur van operations management research aan de Universiteit van Melbourne: “Hoewel de nieuwe digitaliseringstechnologieën veel beloven, raden we leidinggevenden aan om niet verstrikt te raken in de hype van internet of things (IoT), artificial intelligence (AI) en blockchain, maar om eerst uw hele bedrijfsmodel en operationele strategie te beschouwen, en vanuit die context vervolgens zorgvuldig een technologiestrategie te kiezen.” Hij benadrukt dat de genoemde technologieën tot niets anders dan frustratie en verspilde moeite en kosten leiden wanneer ze slecht worden ingezet.

Bron: Supply Management

Partner van Inkoperscafé:

Jeff Bezos investeert in radicale vereenvoudiging vrachtvervoer

Amazon-baas Jeff Bezos heeft geïnvesteerd in een startup voor vrachtvervoer die ‘de manier waarop bedrijven goederen importeren en exporteren radicaal zal vereenvoudigen’. Het gaat om Beacon, dat is opgericht in 2018. Zo meldt het Britse Supply Management.

Volgens Beacon zijn logistieke dienstverleners ‘traag met het digitaliseren’ en is minder dan dertig procent van de verladers tevreden met de klantenservice die ze krijgen. Hierdoor is de sector ‘rijp voor verandering’ door articifical intelligence (AI), data en automatiseringstechnologieën. Beacon haalde hiervoor vijftien miljoen dollar aan financiering op bij investeerders, waaronder Bezos, ’s werelds rijkste man. Het bedrijf heeft data science en machine learning gebruikt om een ​​platform te verzorgen dat een realtime beeld geeft van de wereldwijde levering van vracht- en verzendkosten en prijzen. Dit kan verzendroutes en -processen optimaliseren om de kosten, snelheid en voorspelbaarheid te verbeteren.

Werkkapitaal
Beacon zegt dat het van plan is om geselecteerde klanten supply chain-financiering aan te bieden om ‘een van de grootste uitdagingen waarmee importeurs vandaag worden geconfronteerd – cashflow’ op te lossen. “Leveranciers eisen vaak betaling voordat goederen worden verzonden en met maandenlange verzendtijden hebben importeurs flexibele financiering nodig om in hun werkkapitaalbehoeften te voorzien”, aldus het bedrijf. Volgens Fraser Robinson van Beacon blijft het traditionele model van de expediteur verrassend analoog, met behulp van trage en inefficiënte systemen en processen, met ondoorzichtige prijzen en beperkt gebruik van technologie.

Bron: Supply Management

Partner van Inkoperscafé:

‘De coronacrisis leidt tot veel interessante en slimme oplossingen’

Lloyd Keays, Senior Director, Strategy & Innovation – Global Presales, bij SAP Ariba, ziet naast de negatieve gevolgen ook veel positieve kanten aan de coronacrisis. Het betekent een versnelling van het gebruik van handige nieuwe technologieën in de toeleveringsketens. Daarnaast leidt de crisis tot het besef dat veel processen en tussenschakels in de ketens helemaal niet nodig zijn.

Volgens Keays blijkt door de coronacrisis dat de toeleveringsketen zelf een risico is. “De zekerheid is verdwenen uit het inkoopproces. Dat heeft gevolgen voor levering en contracten.” Daarnaast denkt hij dat de behoefte aan ‘ethical sourcing’ met aandacht voor waarden op het gebied van milieu en maatschappij zich blijft ontwikkelen. “Ik ben daarom voorstander van een internationale standaard om leveranciers te vergelijken. Die bestaat nog niet. Zo’n standaard bespaart inkopers veel werk bij hun keuze van leveranciers. Bij ons inkoopproces zijn bijvoorbeeld al honderdduizenden leveranciers betrokken. Het wordt lastig als je die allemaal apart moet gaan beoordelen.”

Versnelde technologische ontwikkeling
Keays denkt dat nieuwe technologieën zoals 3D-printen en virtual reality een belangrijke rol gaan spelen in de toeleveringsketens van de toekomst. “De coronacrisis heeft de ontwikkelingen versneld. Denk aan de ademhalingsapparatuur waarvoor enkele Italianen een onderdeel (ventiel) konden printen met een 3D-printer. Dat ventiel had normaal duizenden euro’s gekost en het had weken geduurd voordat het er was. Nu hadden de Italianen het binnen enkele uren en kostte het vijftig euro. Dat heeft levens gered. Zo zijn er meer mogelijkheden om met 3D-printers onderdelen te maken die je anders uit China zou moeten halen. Vaak zitten onderdelen aan één merk vast en vindt de productie op enkele plekken plaats. Met 3D-printen kan je veel meer gespreid produceren.”

Lloyd Keays, Senior Director Strategy & Innovation – Global Presales bij SAP Ariba

Dit kan volgens Keays bijvoorbeeld ook een oplossing zijn voor het ‘right to repair’ voor elektronica. Daarbij gaat het om aankomende wetgeving waarbij consumenten het recht krijgen om hun aangekochte elektronische apparaten zelf te mogen repareren. “Dat brengt problemen met zich mee als onderdelen van ver weg moeten komen met een lange levertijd.”  

Het probleem zijn echter de patenten. De fabrikant van de ventielen voor de beademingsapparatuur dreigde al met een rechtszaak tegen de Italianen die ze 3D hadden geprint. “Als een ontwerp van een onderdeel online staat, kan iedereen het zelf (laten) maken. Inkoopafdelingen kunnen als eis aan leveranciers gaan stellen dat ze het ontwerp willen hebben voordat ze apparatuur kopen. Vervolgens kunnen de eindklanten dan zelf onderdelen maken als dat nodig is.”

Keays denkt ook dat er nu echt een einde komt aan het oude ‘analoge’ denken. “Op de computer gaan we nog steeds vaak uit van de oude papieren processen. Neem een aanbesteding waarbij alles digitaal verwerkt kon worden, maar uiteindelijk geprint moest worden ter ondertekening. Er zijn nieuwe, echt digitale processen mogelijk op basis van meer vertrouwen in de computer. Je kunt daarvoor onder andere een beroep doen op artificial intelligence en machine learning. Dit zijn geen nieuwe ontwikkelingen. Alleen is er nu meer urgentie om een beroep te doen op automatisering.”

Nieuwe oplossingen door coronacrisis
Opmerkelijk aan de coronacrisis is, zo signaleert Keays, dat mensen en organisaties veel sneller dan normaal blijken te kunnen schakelen. “Dat leidt tot veel interessante en slimme oplossingen. Grote modebedrijven gingen bijvoorbeeld in korte tijd mondkapjes produceren.”

Hij benadrukt dat we zonder het micromanagement met allerlei tussenlaagjes kunnen. “De coronacrisis bewijst dat. Zo hebben we laatst contractmanagement verkocht in het Midden-Oosten. Normaal is dat heel ingewikkeld met allerlei protocollen en processen die goedgekeurd moeten worden. Zoiets duurt dan zo’n twee jaar. Nu was het in twee weken afgerond. Door de coronacrisis had de inkoopmanager de bevoegdheid gekregen om de beslissing helemaal zelf te nemen. De crisis leidt tot meer gebruik van ons gezonde verstand met het besef dat veel processen en tussenschakels in de ketens helemaal niet nodig zijn.”

Inkopers krijgen meer invloed
Keays denkt dat het nog een uitdaging wordt om inkopers met de nieuwe ontwikkelingen mee te laten bewegen. “Inkoop is extreem conservatief. Slimmer en sneller ‘sourcen’ maakt een andere kijk op het inkoopproces nodig. Inkopers zouden zo’n 3D-geprint onderdeel van een ademhalingsapparaat normaal gesproken niet kopen, omdat het niet volgens het boekje is vervaardigd. Ze moeten anders gaan denken, bijvoorbeeld dat een leverancier iets dat niet of slecht leverbaar is, ook door de klant kan laten printen.”

Hij verwacht dat het werk van inkopers interessanter wordt door de huidige ontwikkelingen. “Het inkoopvak is altijd ondergewaardeerd geweest. Inkopers blijken nu veel invloed te kunnen uitoefenen. Door te beoordelen of een leverancier groen en verantwoord werkt, dragen ze bij aan een goede wereld. Dat maakt ze trots op hun vak.”

Volgens Keays krijgt inkoop het de komende tijd nog druk. “Er zullen meer corona-uitbraken komen en er zullen nieuwe leveranciers nodig zijn. Daar moeten bedrijven zich op voorbereiden. Grote bierbrouwers moeten zich bijvoorbeeld instellen op het opengaan van de horeca. Ze moeten dan in één keer heel veel bier leveren. Dat betekent een enorme piek die afhangt van één beslissing van de regering. Het heeft ook gevolgen voor de toeleveranciers van de bierbrouwers. Inkopers moeten zorgen dat dergelijke herstarts goed verlopen en dat er voldoende voorraad is.”

Simuleren is daarbij erg belangrijk. “Je kunt dagelijks een simulatie doen. Bijvoorbeeld de ene keer van een herstart, de andere keer van een tweede coronagolf of dat Duitsland weer helemaal open gaat voor handel. De levering vanuit China biedt ook diverse opties. Die simulaties houden je scherp.”

Is het coronavaccin eenmaal gevonden dan verwacht Keays dat inkoop nieuwe technologieën kan gaan inzetten voor het oplossen van kleine problemen. “Denk aan een route van een inkoopopdracht naar facturering die nu in vijftien stappen verloopt. Je kunt dan kijken welke stappen je met digitalisering kunt versnellen.”

Kansen benutten
De senior director van SAP Ariba ziet de toekomst niet al te somber in. “De coronacrisis is een koude douche, maar biedt ook kansen om het anders en beter te doen. We krijgen zulke kansen niet zo vaak, dus die moeten we zo goed mogelijk benutten.”

Partner van Inkoperscafé:

Inkoop doet er goed aan scherp te letten op privacy en de AVG

De Algemene Verordening Gegevensbescherming (AVG) regelt per 25 mei 2018 de omgang met privacy. Deze Europese verordening staat ook bekend onder de Engelse naam General Data Protection Regulation (GDPR). De AVG betekent meer privacy-verantwoordelijkheden voor je organisatie. Ook de inkoop moet rekening houden met de eisen vanuit de AVG. Dat speelt met name bij de samenwerking met leveranciers.

De AVG geldt voor alle bedrijven en organisaties die persoonsgegevens vastleggen van klanten, medewerkers of andere personen. Het gaat om alle gegevens die te maken hebben met ‘tot een persoon herleidbare informatie’. Denk aan genetische, mentale, culturele, economische of sociale gegevens. De activiteiten van bedrijven vallen daarmee snel onder de AVG. Naast namen en adressen vallen ook gegevens gekoppeld aan IP-adressen, cookies en dergelijke onder de AVG. Ook als je niet weet wie er schuilgaat achter deze gegevens, moet je ze nog als privacygevoelig behandelen.

De essentie van de AVG is dat je alleen persoonsgegevens mag verwerken als dat echt niet anders kan. Dat betekent dat je zonder deze gegevens je doel niet kunt bereiken. Op basis van de verantwoordingsplicht van de AVG moet je kunnen aantonen dat je je aan de wet houdt. Dat moet met documenten die bewijzen dat je organisatie de juiste organisatorische en technische maatregelen heeft getroffen om aan de AVG te voldoen.

Data protection impact assessment
Een data protection impact assessment (DPIA) of gegevensbeschermingseffectbeoordeling is verplicht als er een hoog privacyrisico kan optreden bij je gegevensverwerking. Je inventariseert dan vooraf de privacyrisico’s van gegevensverwerking, waarna je maatregelen kunt treffen om de risico’s te verkleinen. Ook in andere gevallen is een DPIA een aanrader, omdat deze informatie oplevert voor de verwerkersovereenkomst. De beoordeling kent vier onderdelen: een beschrijving van de kenmerken van gegevensverwerkingen, een beoordeling van de rechtmatigheid van gegevensverwerkingen, een beschrijving en beoordeling van de risico’s voor de betrokkenen en een beschrijving van voorgenomen maatregelen.

Verwerkersovereenkomsten
Een centrale rol bij inkoop en privacy spelen de verwerkersovereenkomsten. “Inkoop zal met name een rol hebben of kunnen spelen bij de verwerking van persoonsgegevens in het kader van verwerking door verwerkers (leveranciers of dienstverleners)”, stelt Robert Grandia. Hij is advocaat bij ICT-advocatenkantoor Legalz en is gespecialiseerd in ICT-contracten en de AVG.

Het is voor een verwerkersovereenkomst allereerst belangrijk dat je bepaalt welke rol je organisatie heeft: gegevensverantwoordelijke of verwerker. Als je organisatie gegevensverantwoordelijke is, dan moet je met leveranciers (of andere dienstverleners) verwerkersovereenkomsten afsluiten als zij persoonsgegevens verwerken waarvoor jouw organisatie verantwoordelijk is. Die gegevens kunnen heel divers zijn, van factuurgegevens en adresgegevens tot contracten met uitzendkrachten, onkostendeclaraties en persoonsgegevens in verzekeringen.

Met een verwerkersovereenkomst sluit je als gegevensverantwoordelijke uit dat de andere partij de persoonsgegevens voor eigen doelen verwerkt. Verder staan in de verwerkersovereenkomst bepalingen over de verantwoordelijkheden van beide partijen, een geheimhoudingsplicht, het nemen van beveiligingsmaatregelen, het doorgeven van gegevens aan subverwerkers, afspraken over datalekken en afhandeling van eventuele boetes van de Autoriteit Persoonsgegevens (AP). Ook als je de gegevensverwerking door een verwerker laat uitvoeren, blijf je nog steeds verantwoordelijk voor de naleving van de AVG. Voor de verwerkersovereenkomst kun je de gegevens gebruiken die uit de DPIA komen.

Veel (vooral grotere) organisaties sturen hun leveranciers ter ondertekening een model-verwerkersovereenkomst. Ga daarbij niet teveel op de stoel van de leverancier zitten. Schrijf bijvoorbeeld voor welke risico’s deze beperkt, maar niet hoe hij dat doet. De verwerkersovereenkomst wordt volgens Grandia nog te vaak gezien als een juridisch document. “De kern van de verwerkersovereenkomst is echter om concreet in kaart te brengen welke verwerkingen van persoonsgegevens plaatsvinden en welke passende technische en organisatorische maatregelen worden getroffen. Te vaak blijkt de totstandkoming van de verwerkersovereenkomst echter voor een belangrijk deel een juridische strijd te worden over aansprakelijkheden en vrijwaringsverplichtingen bij schade. Een meer open dialoog tussen de gegevensverantwoordelijke en verwerker en een bijbehorende gerichtheid op de kern van de zaak zou de voorkeur hebben.”

Registratie toegang persoonsgegevens
Let erop dat je onder de AVG goed registreert wie toegang had tot de persoonsgegevens die jij of een leverancier verwerkt. Organisaties met meer dan 250 werknemers zijn verplicht om hiervoor een verwerkingsregister aan te leggen. Heeft een organisatie minder dan 250 werknemers dan is een verwerkingsregister nodig als de verwerking van persoonsgegevens niet incidenteel is of je persoonsgegevens met een hoog privacyrisico verwerkt. Dat geldt ook voor de verwerking van bijzondere persoonsgegevens, zoals gegevens over godsdienst, gezondheid en politieke voorkeur of strafrechtelijke gegevens. Van een niet-incidentele verwerking is al snel sprake, dus daarmee is het verwerkingsregister ook voor veel kleinere organisaties verplicht. Het is belangrijk om met andere afdelingen af te stemmen welke persoonlijke informatie waar is vastgelegd. Ook moet je betrokkenen informeren wie hun gegevens heeft gezien als zij daarom vragen.

Datalekken
Volgens de Autoriteit Persoonsgegevens (AP) gaat het bij een datalek om toegang tot of vernietiging, wijziging of vrijkomen van persoonsgegevens bij een organisatie zonder dat dit de bedoeling is van deze organisatie. Of zonder dat dit wettelijk is toegestaan. De meldplicht datalekken vanuit de AVG betekent dat organisaties (bedrijven en overheden) direct een melding moeten doen bij de AP zodra zij een ernstig datalek hebben. En soms moeten zij het datalek ook melden aan de mensen van wie persoonsgegevens zijn gelekt.

Als je organisatie persoonsgegevens verwerkt, dan moet je alle datalekken in je organisatie documenteren. Dat moet volgens de AVG gebeuren met een datalekregister. Hierin houd je de datalekken bij die er in je organisatie zijn geweest. In dat register leg je niet alleen de datalekken vast die je aan de AP hebt gemeld. Ook de minder ernstige datalekken neem je op in het register.

Je kunt zo’n datalek ook als inkoper tegenkomen. Als het goed is, heeft je organisatie hiervoor een protocol. Als dit niet het geval is dan doe je er goed aan hierover te overleggen met je management. Maak daarnaast met verwerkers duidelijke afspraken over datalekken. Grandia: “Het is raadzaam om in de verwerkersovereenkomst concrete afspraken vast te leggen over de wijze waarop de verwerker datalekken (en beveiligingsincidenten) bekend maakt bij de opdrachtgever/afnemer (gegevensverantwoordelijke).”

Goede controle
Voor inkoop is het belangrijk om bestaande leverancierscontracten te controleren op de verwerking van persoonsgegevens en de bepalingen over gegevensbescherming te bekijken. Kijk daarnaast kritisch naar de AVG-aanpak van nieuwe leveranciers. Vraag om harde garanties met betrekking tot de maatregelen die leveranciers hebben getroffen. Controleer ook in de eigen systemen in hoeverre privacygevoelige informatie is vastgelegd, zoals vertrouwelijke onkostendeclaraties van medewerkers en bestaande verzekeringspolissen. Let erop dat processen zo zijn ingericht dat ze voldoen aan de meldingsplicht datalekken.

Omgaan met kosten
Je hebt bij gegevensverwerking te maken met kosten voor opslag, encryptie en nieuwe manieren van transport van data. Bepaal hoe je omgaat met deze kosten en of je deze als organisatie accepteert of dat je ze (deels) bij de leverancier neerlegt. In de algemene inkoopvoorwaarden staat vaak dat de leverancier tijdens de lopende contractperiode moet voldoen aan de vigerende wetgeving. Het ligt dan voor de hand dat de leverancier de kosten draagt.

Privacy blijft aandachtspunt
Uit onderzoek van Capgemini Research Institute van september 2019 bleek dat een jaar na de invoering van de AVG slechts 28 procent van de Nederlandse bedrijven eraan voldeed.

Grandia: “Veel organisaties gingen eerst in 2018 in de aanloop naar de inwerkingtreding van de AVG, of pas daarna, over tot inbedding van AVG-compliance (naleving regels) in de organisatie, onder andere door het sluiten van verwerkersovereenkomsten met leveranciers. Dat bleek een zware operatie en na 28 mei 2018 zag je dat veel organisaties hier nog niet mee klaar waren.”

Ook nu is AVG-compliance volgens Grandia nog steeds een aandachtspunt. “In het kader daarvan moeten organisaties zich ook beraden op monitoring van verwerking door verwerkers. Dat kan bijvoorbeeld door beveiligingsmaatregelen te monitoren voor de nakoming van de in verwerkersovereenkomsten gemaakte afspraken en de gewenste bijstelling daarvan. Die monitoring kan plaatsvinden met periodieke audits.”

Partner van Inkoperscafé:

Digitale transportmarktplaats draait op volle toeren in crisistijd

Quicargo groeide als digitale transportmarktplaats met maar liefst 240 procent in het eerste kwartaal van 2020. De omzet verdrievoudigde tijdens de uitbraak van het coronavirus. Zo meldt Supply Chain Magazine.

Tijdens de coronacrisis ervaren vervoerders een sterke afname van het aantal transportopdrachten. De verladers geven minder snel opdrachten. Quicargo vergroot juist in snel tempo zijn vervoerdersnetwerk. De Nederlandse start-up maakt het voor vervoerders mogelijk om extra verzendingen mee nemen en zo meer inkomsten te krijgen. De verladers profiteren tegelijkertijd van extra zekerheid dat hun zendingen ook allemaal echt worden uitgevoerd.

Transportplatform
De transportmarkt is sterk in beweging. Het aantal actieve verladers op het platform van Quicargo is dan ook sterk gestegen met een recordaantal van meer dan 550 actieve verladers in maart. Volgens CCO Sam Houwen biedt Quicargo vervoerders de mogelijkheid om dagelijks de beladingsgraden te optimaliseren door extra zendingen van het transportplatform te accepteren die goed passen in hun planning. “Tegelijkertijd kan het platform verladers garanderen dat iedere zending zal worden uitgevoerd, aangezien Quicargo profiteert van een groot netwerk van vervoerders.”

Bron: Supply Chain Magazine

Partner van Inkoperscafé:

IT-beveiliging draait om het voorkomen van menselijke fouten

Inkoop moet goede IT-afspraken maken met leveranciers

In 2017 was een internationaal containerbedrijf slachtoffer van een aanval met ransomware. Hierna moest het bedrijf ruim 45.000 pc’s en 4000 nieuwe servers herinstalleren. Dit kostte de onderneming ongeveer 300 miljoen dollar. Hieruit blijken de grote en zelfs ontwrichtende gevolgen van cyberaanvallen. Mensen en organisaties zijn volledig afhankelijk geworden van digitaal verkeer. Wat zijn de veiligheidsrisico’s van it-software en – hardware en hoe hou je er rekening mee als inkoop?

De omvang en de ernst van digitale dreiging nemen toe. Tegelijk nemen lang niet alle organisaties de noodzakelijke basismaatregelen voor het afslaan van cyberaanvallen. Wat het nog ingewikkelder maakt, zijn onder andere clouddiensten en het gebruik van mobiele en slimme apparaten. Dit vergroot nog de potentiële kwetsbaarheden. De bescherming tegen digitale schade richt zich op cybersecurity en datasecurity.

Cybersecurity
Bij cybersecurity gaat het om de beveiliging van IT-systemen tegen diefstal of schadelijke aanvallen. Het kan om een ‘harde’ aanval gaan waarbij een aanvaller een ontwerp- of configuratiefout gebruikt om de beveiliging te omzeilen. Er kan ook sprake zijn van een ‘zachte’ aanval met bijvoorbeeld phishing via de e-mail. Bescherming kan plaatsvinden met antivirus- en antimalware-software en met een firewall. Bescherming via hardware gebeurt bijvoorbeeld met NX-bit (AMD) of XD-bit (Intel). Deze technieken beschermen de computer tegen bijvoorbeeld virusaanvallen gericht op overbelasting van het IT-systeem. Tot slot zijn fysieke beveiligingsmaatregelen mogelijk, zoals het vastzetten van apparatuur met staalkabels en het fysiek afsluiten van usb-poorten  

Datasecurity
Datasecurity richt zich op de bescherming van digitale data tegen vernietiging of ongewilde acties, zoals bij een datalek. Ook voorkomt het dat ongeautoriseerde gebruikers toegang krijgen tot data.

Een beveiligingsmaatregel is bijvoorbeeld versleuteling (encryptie). Dit biedt bescherming bij het verzenden en delen van data. Ook is het frequent en structureel maken van back-ups belangrijk om dataverlies te voorkomen.

Een andere vorm van datasecurity is het inloggen met sterke wachtwoorden met twee-factor-authenticatie (gebruik wachtwoord plus extra code). Extra veilig is een inlog met biometrische herkenning. Hierbij moet de gebruiker zich identificeren met vingerafdruk- of gezichtsherkenning.

In aansluiting hierop is een goede voorlichting van medewerkers over het zorgvuldig omgaan met data erg belangrijk. Datalekken ontstaan namelijk vaak door menselijke fouten of onoplettendheid. Een goede monitoring van dergelijke fouten en eventuele datalekken zelf is dan ook belangrijk.   

Organisatorische maatregelen
Voor zowel cyber- als datasecurity zijn organisatorische maatregelen erg belangrijk, omdat menselijke fouten voor grote schade kunnen zorgen. Dit begint met het bewust maken van medewerkers wat IT-veiligheidsrisico’s inhouden. Het kan helpen om medewerkers te laten zien hoe gemakkelijk het is om in het kantoor of in systemen binnen te dringen. Dit kan bijvoorbeeld met een inlooptest of met een namaak-phishingmail.

In combinatie hiermee zijn duidelijke richtlijnen voor het IT-gebruik nodig. Denk aan het niet delen van wachtwoorden, geen externe usb-sticks in de pc stoppen, programma’s tijdig updaten en alert zijn op phishingmails. Ook is het verstandig om voorzichtig te zijn met vertrouwelijke, papieren documenten. Medewerkers moeten daarvan goed op de hoogte zijn. In combinatie daarmee is het trainen van medewerkers belangrijk.

Mobiele apparaten
Er is steeds meer aandacht voor de veiligheid van smartphones en andere mobiele apparaten zoals tablets. Gebruikers vergeten nog wel eens dat voor dergelijke apparaten soortgelijke IT-risico’s gelden als voor een PC.  Met mobiele apparaten wordt bovendien ook in onveilige omgevingen gewerkt. Daarbij staat er vaak ook nog eens vertrouwelijke of privacygevoelige informatie op deze ‘devices’. Dit brengt hoge veiligheidsrisico’s met zich mee. Hiervoor zijn minimaal dezelfde beschermingsmaatregelen nodig als bij vaste computers.

Shadow-IT
Een groot risico voor zowel cyber- als datasecurity is zogeheten shadow-IT. Dat is software of hardware die niet voldoet aan de richtlijnen van de IT-afdeling, maar die medewerkers toch gebruiken omdat het zo gemakkelijk is. Daarnaast kunnen ook gebruiksonvriendelijke officiële applicaties, trage verbindingen, gebrek aan functionaliteiten en soms zelfs gebrekkige invoering van nieuwe applicaties redenen zijn voor gebruik van shadow-IT. De exacte omvang ervan is vanwege het verborgen karakter niet bekend.

Bij shadow-IT ontbreekt het zicht op updates en de kwaliteit van software. Dit kan voor allerlei kwetsbaarheden in een IT-systeem zorgen. Verder kan het ook leiden tot datalekken, doordat gebruikers bijvoorbeeld gevoelige data uploaden naar een externe clouddienst. Het is dan ook belangrijk dat organisaties medewerkers wijzen op de IT-veiligheidsrisico’s van gebruik van niet-goedgekeurde hard- of software. Daarbij is het verstandig om medewerkers duidelijk zelf verantwoordelijk te stellen voor deze risico’s.

Thuiswerken levert een soortgelijk risico op, omdat de kans dan nog groter is dat de werknemer werkt met eigen software en/of niet goed beveiligde software. Bij thuiswerken is het daarom extra belangrijk dat medewerkers zich aan dezelfde veiligheidsvoorschriften houden als op kantoor.

BYOD
Een ander soortgelijk risico wordt gevormd door ‘bring your own device’ (BYOD). Dit betekent dat medewerkers hun eigen ‘devices’ (smartphones, laptops en tablets) mogen gebruiken voor hun werk. BYOD maakt een IT-systeem extra kwetsbaar. Van belang is dat er een duidelijke en vaste scheiding is tussen data en apps in een zakelijk en privédeel. Bovendien moet beveiligingssoftware ook op de externe devices up-to-date blijven. Daarnaast doen organisaties er goed aan gebruikers duidelijk te instrueren om hun apparaten niet door mensen van buiten de organisatie te laten gebruiken.

Het nieuwe digitale werken
Consultant collega Marnix Pilon van adviesbureau Improven stelt op Consultancy.nl dat de laatste jaren digitale risico’s alleen maar zijn toegenomen. Dat komt volgens hem onder andere door de tempo waarin het werken via de cloud afgelopen jaren is gegroeid. “Het nieuwe digitaal werken is veelal onder grote tijdsdruk geïmplementeerd om vooral niet achter te raken. Terwijl veel organisaties hun IT-strategie en IT-beleid nog niet op deze ontwikkeling hebben geactualiseerd.”  

Zijn collega Kevin Hermes waarschuwt voor het koppelen van zakelijke accounts aan apps zoals Google Drive, Dropbox en Gmail. De informatie die je erop zet valt vaak onder Amerikaans recht en buiten de Europese wetgeving (AVG). Organisaties beseffen dat nog onvoldoende.

Het adequaat voorkomen van digitale ‘ongelukken’ vraagt volgens Hermes echt om veranderingen in de kern van organisaties. “Organisatie hebben vaak wel een algemene bedrijfsstrategie, maar men verzuimt aansluitend een afgeleide IT-strategie en passend IT-beleid te formuleren. Terwijl innovatie sneller dan ooit verloopt en IT-beslissingen steeds vaker decentraal worden genomen.”

Inkoop en IT-beveiliging
Inkoopprocessen en de inkoopadministratie zijn steeds meer geautomatiseerd. Dit betekent dat IT-veiligheid ook voor de inkoop steeds meer een aandachtspunt is geworden. Een speciaal onderwerp daarbij is de digitale veiligheid van de toeleveringsketen. Deze is in principe zo sterk als de zwakste schakel. Als één partij de beveiliging niet in orde heeft dan kan dat een datalek van de gegevens van de inkoop betekenen. Het is daarom erg belangrijk om goede afspraken te maken met leveranciers over de IT-veiligheid en het delen van data. 

Verder is het van belang om punten in supply-chainprocessen te identificeren waarvoor een cyberaanval de meeste gevolgen heeft. Inkoopafdelingen doen er goed aan dit in een noodplan met draaiboek te verwerken voor het geval het fout gaat.

Een ander aandachtspunt is dat alle IT-eisen die voor de rest van de organisatie gelden ook in de inkoop worden toegepast. Geef inkoopmedewerkers daarom de verantwoordelijkheid voor de IT-veiligheid binnen hun werkterrein. Bevorder verder een goede samenwerking van de inkoopafdeling met de IT-afdeling. Hierbij moet er aanspreekpunten zijn voor IT binnen de inkoopafdeling en voor de inkoop binnen het IT-team.

Het is tot slot raadzaam om zorgvuldig om te gaan met de uitbesteding van inkoopfuncties. Kies hiervoor betrouwbare partners die hetzelfde niveau van IT-beveiliging toepassen als de uitbestedende organisatie en die werken met de juiste, goed geteste software.

Sluiten

Inloggen met

of met e-mailadres