Generatieve AI is in korte tijd een vast onderdeel geworden van ons dagelijks werk. Uit recent onderzoek (januari 2026) blijkt dat een aanzienlijk deel van de medewerkers AI-toepassingen gebruikt bij dagelijkse werkzaamheden. Tegelijkertijd heeft slechts een minderheid van organisaties helder vastgelegd wat wel en niet is toegestaan.

Die combinatie is risicovol. Niet omdat AI op zichzelf onveilig is, maar omdat het gebruik vaak plaatsvindt zonder duidelijke kaders, toezicht of technische toetsing. Daarmee ligt het risico niet alleen op het vlak van technologie, maar ook in gedrag. De vraag is daarom niet óf AI wordt gebruikt op de werkvloer, maar hoe u als organisaties dat gebruik kunt beheersen.

Een verbod als schijnoplossing

Wanneer nieuwe technologie onzekerheid oproept, is de eerste reflex vaak: blokkeren. Sommige organisaties sluiten publieke AI-tools technisch af of verbieden het gebruik ervan. Die gedachte is begrijpelijk. Men wil voorkomen dat vertrouwelijke informatie in externe systemen terechtkomt of dat privacyregels worden geschonden.

In de praktijk werkt een verbod echter zelden zoals bedoeld. Medewerkers zoeken namelijk efficiëntie. Zij ontdekken dat AI teksten kan schrijven of samenvatten, concepten kan uitwerken of razendsnel analyses kan maken. Wanneer die behoefte er is, maar het gebruik intern niet is toegestaan, ontstaat onherroepelijk een parallel circuit: documenten worden naar privé-mailadressen gestuurd. Gratis versies van tools worden buiten het zicht van IT gebruikt. Informatie wordt ingevoerd zonder dat duidelijk is waar en hoe lang die wordt opgeslagen.

Dit zogenoemde schaduwgebruik vergroot het risico juist. Er is geen logging, geen centrale controle en geen zicht op welke gegevens worden verwerkt. Waar een gereguleerde omgeving nog kan worden gemonitord, ontstaat bij informeel gebruik een blinde vlek. En als kaders ontbreken, maken medewerkers hun eigen afwegingen. Dat is begrijpelijk, maar niet zonder gevolgen.

Ook ‘de kop in het zand’ is geen strategie

Ook niets regelen is een keuze. Organisaties die AI-gebruik niet expliciet verbieden, maar ook geen richtlijnen opstellen, laten feitelijk ruimte voor willekeur. Dat kan leiden tot onbedoelde datalekken, reputatieschade of het delen van bedrijfsgevoelige informatie met externe aanbieders.

Daarbij speelt nog een ander risico. AI-output kan onnauwkeurig of misleidend zijn. Wanneer medewerkers die output zonder controle gebruiken in besluitvorming, communicatie of rapportages, kan dat inhoudelijke en juridische consequenties hebben.

Het risico verschuift daarmee van de techniek naar de organisatiecultuur. Zonder duidelijke afspraken ontbreekt eigenaarschap. Wie is verantwoordelijk als vertrouwelijke informatie in een prompt wordt ingevoerd? Wie toetst de betrouwbaarheid van de gegenereerde output? Wie houdt toezicht? Zonder antwoord op die vragen ontstaat een diffuse situatie waarin niemand echt verantwoordelijk is.

Van verbod naar beleid

Een werkbaar alternatief is een risicogebaseerde benadering. Dat begint met erkenning: AI is een hulpmiddel dat, mits goed ingericht, waarde kan toevoegen. Het verdient daarom een plaats binnen de reguliere informatiebeveiliging en het beleid.

Een effectief AI-beleid bevat in elk geval duidelijke uitgangspunten:

  • Welke tools zijn toegestaan, en voor welke toepassingen?
  • Welke gegevens mogen nooit worden ingevoerd?
  • Hoe wordt omgegaan met persoonsgegevens of vertrouwelijke bedrijfsinformatie?
  • Wie is verantwoordelijk voor toezicht en evaluatie?

Beleid alleen is echter onvoldoende. Ook bewustwording is van belang. Medewerkers moeten begrijpen welke risico’s samenhangen met het invoeren van data in externe systemen. Dat vraagt om heldere communicatie, gerichte training en praktische richtlijnen, anders blijft het beleid een papieren werkelijkheid.

Toetsen vóór implementeren

Daarnaast verschillen AI-toepassingen sterk in opzet en risico. Sommige organisaties ontwikkelen eigen AI-agenten of koppelen taalmodellen aan interne systemen. Anderen gebruiken externe tools die data verwerken in de cloud. In alle gevallen is het van belang om vooraf te toetsen hoe veilig die toepassing daadwerkelijk is:

  • Kunnen ingevoerde gegevens worden hergebruikt voor trainingsdoeleinden?
  • Is er risico op ongewenste data-exfiltratie via prompts?
  • Kunnen gebruikersrechten worden omzeild via slimme instructies?
  • En hoe robuust is de afscherming tussen interne systemen en externe AI-diensten?

Het testen van AI-toepassingen vraagt om een combinatie van technische kennis en inzicht in menselijk gedrag. Niet alleen de infrastructuur moet worden beoordeeld, maar ook de manier waarop gebruikers met het systeem omgaan. Juist op dat snijvlak ontstaan kwetsbaarheden.

Door AI-tools vooraf te analyseren en waar nodig te onderwerpen aan gerichte beveiligingstesten, kan worden vastgesteld waar de risico’s liggen en welke maatregelen nodig zijn. Dat voorkomt dat innovatie onbedoeld nieuwe deuren opent voor kwaadwillenden.

De AI Act als extra impuls

De Europese AI Act kiest voor een risicogebaseerde benadering van AI-toepassingen. Organisaties die AI inzetten, moeten kunnen aantonen dat zij risico’s in kaart hebben gebracht en technische en organisatorische maatregelen hebben genomen om deze te beheersen. Voor bepaalde toepassingen, bijvoorbeeld in personeelsbeleid of besluitvorming over medewerkers, gelden zwaardere eisen, waaronder expliciete eisen aan cybersecurity, robuustheid, logging en bescherming tegen manipulatie. Dit betekent dat organisaties hun informatiepositie op orde moeten hebben en inzichtelijk moeten maken hoe AI technisch is ingericht, beveiligd en gecontroleerd.

Conclusie

AI is al onderdeel van de werkvloer, en zal dat ook blijven. Pogingen om het gebruik te blokkeren leiden in de praktijk vaak tot schaduwgebruik en verlies van controle. Niets regelen is evenmin een optie. Zonder kaders ontstaan blinde vlekken in data- en informatiebeveiliging. Digitale weerbaarheid vraagt om een andere benadering: erkenning van het gebruik, duidelijk beleid, gerichte bewustwording en technische toetsing van AI-toepassingen. Alleen zo ontstaat zicht op risico’s en kan innovatie veilig worden geïntegreerd in de organisatie.

Meer weten?

Hoffmann ondersteunt organisaties bij het technisch beoordelen en testen van AI-toepassingen. Wij helpen inzicht te krijgen in de veiligheidsrisico’s en kwetsbaarheden van AI-systemen, zodat innovatie verantwoord kan plaatsvinden Voor informatie kunt u vrijblijvend contact met ons opnemen.

088-2986600

info@hoffmann.nl

Onze consultants vertellen u er graag meer over.
Cybersecurity

Bedreigingen met een digitaal gezicht: hoe AI de grens tussen feit en fictie vervaagt

De recente commotie rond AI-gegenereerde beelden van Frans Timmermans laat zien hoe eenvoudig het inmiddels is om digitale misleiding te creëren. Op een Facebookpagina, beheerd door twee PVV-kamerleden, doken bewerkte fotos op waarop de lijsttrekker van GroenLinks-PvdA in een ongunstig daglicht werd gezet. De partij deed aangifte, Geert Wilders noemde het gebruik van deze beelden ongepast en ongehoord”. Wat opvalt, is dat deze ontwikkeling niet op zichzelf staat.

Lees meer
Cybersecurity

Oktober is Cybersecurity Awareness Maand: maak bewustwording tastbaar met een live hackdemo

Cybercrime is al lang geen abstract risico meer. Steeds vaker worden organisaties getroffen door digitale aanvallen. Oktober is Cybersecurity Awareness Maand: een maand waarin wereldwijd aandacht wordt gevraagd voor het belang van digitale veiligheid. Maar hoe zorgt u dat medewerkers zich niet alleen bewust zíjn van risicos, maar ook gemotiveerd zijn om hun gedrag aan te passen? En niet alleen in oktober, maar het hele jaar door?

Lees meer
Nieuws: informatiezuil gehackt, uw organisatie plat?
Cybersecurity

Rust in de zomer? Niet voor cybercriminelen. Voorkom incidenten met een tijdige pentest

Digitale aanvallen worden steeds geraffineerder. Voor uw organisatie is het dus van belang om uw digitale weerbaarheid structureel op orde te houden. Juist tijdens de zomermaanden, als de personele bezetting lager is, is de kans op cyberincidenten groter. Medewerkers zijn op vakantie, waarnemers zijn minder goed ingewerkt en incidenten blijven soms (langer) onopgemerkt. Dit biedt cybercriminelen meer gelegenheid om toe te slaan. Daarom is het verstandig om in de maanden mei en juni een pentest uit te voeren. Dan kunt u met een gerust hart de zomer in.

Lees meer

Wilt u op de hoogte blijven van onze diensten en werkzaamheden? Meld u hier aan voor de periodieke toezending van onze Hoffmann Tips.