Pragmatisch omgaan met AI

AI is niet meer weg te denken. Steeds meer organisaties zetten het in voor besluitvorming, dienstverlening en hun dagelijkse processen.

Waarom? Omdat het simpelweg waarde oplevert. Denk aan:

Maar let op: als het doel belangrijk is, dan is het middel dat ook. En AI is geen standaard IT-aanpassingen heeft verregaande impact op je informatiebeveiliging.

Natuurlijk wil je dat je IT stabiel en veilig draait. Maar bij AI komt er meer bij kijken:

En dat maakt het meteen een stuk serieuzer.

De ene organisatie gebruikt AI simpel (een chatbot), de andere bouwt complexe oplossingen met meerdere modellen en databronnen. Hoe complexer je inzet, hoe groter je verantwoordelijkheid.

Jij wilt uiteraard de AI-boot niet missen. Maar uiteindelijk is cybersecurity een cruciale factor.

Om je heen zie je vast dat er veel AI-startups ontstaan. Maar veel van deze startups focussen zich vooral op groei. Veiligheid? Dat komt later wel. Vaak pas als een eerste klant daar echt om vraagt.

Voor jouw organisatie ligt dat anders. Jij hebt nú al iets te regelen.

Zodra je aan de slag gaat met AI, zorg dan dat je als organisatie:

Veel organisaties starten vanuit druk: wetgeving, opdrachtgevers of tenders. Logisch. Maar het is belangrijk dit wel slim aan te pakken.

Onze tip is om in ieder geval wel gewoon te beginnen met AI. Eerst praktisch, daarna verdiepend. Afhankelijk van jouw situatie (ben je ontwikkelaar of gebruiker?) bepaal je wat nodig is.

Indien gewenst kunnen wij daarin ook naast je staan. Niet vanaf de zijlijn, maar gewoon in de praktijk. Want ook wij gebruiken AI. En daarbij combineren we onze praktijkervaring met bewezen kaders, zoals ISO 27001 en ISO 42001.

Om je een concreet beeld te geven van AI-beleid, geven wij je hieronder enkele best practices op basis van voorbeelden die wij in de praktijk regelmatig voorkomen:

Let op datalocatie (EU), zorg voor menselijke controle en beperk bewaartermijnen.

Zorg dat je vaste, voorspelbare stappen los houdt van AI en controleer altijd of je data klopt. Bijvoorbeeld: AI analyseert je data en geeft een risico-inschatting, maar de uiteindelijke score wordt berekend met vaste formules die je kunt controleren.

Laat collega’s niet zelf experimenteren met allerlei tools. Kies één veilige omgeving en train je mensen daarbinnen.

Voorkom misbruik (zoals prompt injection: waarbij iemand via slimme vragen of opdrachten probeert de chatbot dingen te laten doen die niet de bedoeling zijn), beperk wat de chatbot mag doen en wees transparant: laat gebruikers weten dat ze met AI praten

Check op bias en discriminatie. Werk met steekproeven en controleer je data.
Bijvoorbeeld: je gebruikt AI om cv’s te beoordelen. Zie je dat kandidaten met een bepaalde achtergrond steeds lager scoren? Dan moet je onderzoeken waar dat vandaan komt en je data of model aanpassen.

De AI Impact Assessment (AIIA) is een handig hulpmiddel op veilig en pragmatisch aan de slag te gaan met AI binnen je organisatie. De AIIA helpt je om:

Er zijn diverse geaccepteerde methoden voor een AI Impact Assessment. Er is dus niet één beste manier. Hoewel er verschillende manieren zijn om de AIIA uit te voeren, kijkt een goede AIIA nagenoeg altijd naar:

Je maakt scherp wie waarvoor verantwoordelijk is.
Dus niet: “AI doet het”, maar: wie stuurt, controleert en beslist?

Dit noemen we ook wel governance by design: je regelt vanaf het begin wie de regie heeft, in plaats van dat je dat achteraf moet oplossen.

In het AIIA kijk je dus of de rollen helder zijn verdeeld. Denk hierbij aan rollen als:

Voorbeeld:
Je gebruikt AI om offertes te genereren.
De AI maakt een eerste voorstel, maar een medewerker controleert de inhoud en de manager blijft eindverantwoordelijk voor wat er naar de klant gaat.

De AIIA helpt je om te beoordelen of je AI-systeem technisch doet wat het moet doen. Denk aan aspecten zoals bias, accuraatheid, betrouwbaarheid, reproduceerbaarheid en uitlegbaarheid.

Zijn dit nog nieuwe begrippen binnen je organisatie? Dan maakt de AIIA ook meteen duidelijk dat je hier extra kennis op nodig hebt. Zeker als je zelf een AI-systeem ontwikkelt of een bestaand model (zoals een LLM) aanpast met eigen (en mogelijk gevoelige) data.

Simpel gezegd: je wilt dat je AI geen onverwachte dingen doet, maar voorspelbaar en controleerbaar blijft.

De AIIA onderzoekt de impact van AI op:

Daarmee is de AIIA niet alleen relevant vanuit kwaliteit, informatiebeveiliging en privacy, maar ook voor organisaties die actief zijn op het gebied van duurzaamheid, zoals binnen CSRD en Ecovadis.

Je neemt beslissingen over AI niet alleen.

Je betrekt:

En je legt vast hoe keuzes tot stand komen.

Voorbeeld:
Je wilt een AI-chatbot invoeren.
Dan betrek je niet alleen IT, maar ook de Servicedesk en Compliance. Zij zien risico’s en kansen die je anders mist.

Je hoeft niet te wachten op een volledige AIIA om in actie te komen.

Sterker nog: dat moet je ook niet willen.

Er zijn vandaag al stappen die je kunt zetten waarmee je:

De basis van deze stappen ligt wel in het AIIA-denken en is aangevuld met praktische handvatten uit ISO 42001.

AI brengt risico’s met zich mee. Daar moet je nu al iets mee doen. Dit zijn slimme eerste stappen die je direct kunt vastleggen in een kort AI-beleid:

Weet je niet wat een systeem doet, met welke data het werkt of waarom het een bepaalde uitkomst geeft? Dan moet je het niet gebruiken.
En: maak je medewerkers hiervan bewust. Niet elke online AI-tool is geschikt om zomaar informatie in te stoppen.

Gebruik AI nog niet in processen waar de impact groot is, totdat je dit goed hebt beoordeeld.
Denk aan situaties met gevolgen voor veiligheid, medewerkers of klanten.

AI kan geen verantwoordelijkheid nemen, maar jij wel. Zorg dus dat er altijd controle is op output en beslissingen. Zowel op systeemniveau als per individuele uitkomst.

ISO 42001 helpt je om structuur aan te brengen in hoe je AI beheerst.

Veel risico’s zitten niet in de AI zelf, maar in de input en interpretatie.

Daarom is het belangrijk om te onthouden:

Slechte data geeft namelijk slechte uitkomsten.

Je hoeft niet meteen een volledig systeem op te tuigen. Begin klein en praktisch.

Dit kun je direct doen:

Zo voorkom je namelijk dat experimenteren ongecontroleerd uit de hand lopen.

De AI Act vraagt om aantoonbare beheersing. Daar kun je nu al op voorsorteren.

Zorg dat je:

Je hoeft nog niet perfect te zijn, maar je moet wel kunnen laten zien dat je grip hebt.

Terwijl je deze stappen zet, bouw je ondertussen verder aan een volwassen aanpak. Denk hierbij aan een:

Een AIIA kost tijd. Maar verantwoord omgaan met AI kan niet wachten.

Door nu te starten:

Heb je nog vragen over AI, AIIA, ISO 42001 of andere zaken random cybersecurity? Neem dan geheel vrijblijvend contact met ons op. Wij helpen je graag op weg!