De verborgen risico’s van jouw AI-beleid

De verborgen risico’s van jouw AI-beleid

Ondernemen
Tech
Redactie Baaz

AI veilig gebruiken; zo makkelijk is dat nog niet. Er zijn een hoop punten waar je op moet letten en bij een blokkade loop je de kans dat medewerkers op eigen houtje AI gaan gebruiken. Hoe ga je daarmee om als werkgever? Hoe stop je de verborgen risico's binnen je AI-beleid?

Tekst: Max Veenhof, businessconsultant bij TOPdesk

Laatst ging ik langs bij een Nederlandse overheidsorganisatie. De inzet van AI kwam ter sprake. Het was verboden op de werkvloer, zei een medewerker. Zelf had hij daar geen last van: werkdocumenten stuurde hij naar zijn privé-mailadres, zodat hij alsnog met AI kon werken. Zowel hij als zijn organisatie hadden geen idee van het veiligheidslek dat hij tussen neus en lippen door beschreef.

Dit voorbeeld staat niet op zichzelf. Het is laagdrempeliger dan ooit om met AI te werken en dat komt met risico’s. Uit Inside ITSM 2026 blijkt dat een kwart van de IT-professionals grote risico’s ziet rondom het AI-beleid, met name op het gebied van dataprivacy en security. De kernvraag: hoe ga je veilig om met AI op de werkvloer?

In de helft van de organisaties (52%) is IT de drijvende kracht achter AI-adoptie. Dat betekent dat je als IT’er de balans moet vinden tussen veiligheid en gebruik. AI blokkeren is daarbij één antwoord. Maar ruil je hiermee niet het ene veiligheidsrisico in voor het andere?

De risico’s van blokkeren als AI-beleid

Er zijn tal van organisaties die de risico’s van AI voor hun specifieke data dusdanig groot vinden dat verbieden de beste optie is. Maar dat kun je alleen doen als je ook realiseert wat er gebeurt als je tot die beslissing komt. Want mensen willen AI gebruiken en gaan dat ook doen. Ze raken eraan gewend in hun privéleven en vinden hun eigen weg met privé-mailadressen en persoonlijke accounts buiten de organisatie om.

Het resultaat? Geen enkele controle of zicht op wat er met (gevoelige) bedrijfsinformatie gebeurt. Toegegeven: dat heb je ook niet honderd procent als je AI-gebruik wel toestaat. Maar dan kun je in ieder geval goede maatregelen nemen. De vraag die je als IT’er moet uitpluizen is daarom: wat is het echte risico van het openstellen van AI in de organisatie versus het verbieden?

Gulden middenweg

De uitdaging ligt in het zo goed mogelijk afdekken van securityrisico’s. Daar zijn drie concrete stappen voor:

1. Verbieden? Bied een alternatief.

Als je gegronde redenen hebt om bijvoorbeeld specifiek ChatGPT te verbieden, zijn er AI-alternatieven die je wel kunt toestaan? Onderzoek welke AI-tools voor jouw organisatie een geschikte optie zijn. Ik zag een organisatie dit slim oplossen: ze boden Microsoft Copilot aan met strenge instellingen, zodat data binnen het bedrijfsnetwerk blijft. Als je vanuit de IT-afdeling niets aanbiedt, dan weet je een ding zeker: mensen gaan eigen AI-tools gebruiken.

2. Stel richtlijnen op.

Hoe ga je veilig om met alles wat je aan AI vraagt? Welke bedrijfsinformatie mag je absoluut niet in een AI-tool zetten? Bepalen wat wel en niet gevoelige data is, is niet altijd makkelijk. Maak dit dus concreet en bespreekbaar voor medewerkers. Eventueel kun je ook specifieke tools implementeren die scannen of monitoren op gevoelige informatie voordat deze naar AI-tools gaat.

3. Monitoren in plaats van blokkeren.

Het is veiliger om goed te monitoren hoe AI in de organisatie wordt gebruikt, dan dat gebruik zich buiten je gezichtsveld afspeelt.

Educatie als sleutel

Of je vanwege veiligheidsrisico’s AI-tools niet toestaat of in een gecontroleerde omgeving neerzet, het allerbelangrijkste is educatie. En dat bedoel ik niet als open deur, maar échte training waarin je collega’s laat zien wat er kan gebeuren als je met AI werkt. Dankzij de AI Act en AI-geletterdheid is dat straks een wettelijke verplichting: aantoonbaar verantwoord met AI omgaan.

Dat begint bij medewerkers meenemen in hoe een AI-tool precies werkt. Het kan zijn dat ze ChatGPT vanuit privégebruik goed kennen, maar Copilot nog helemaal niet. Bespreek ook de risico’s: wat zijn de veiligheidsvoordelen van werken in de ene AI-tool versus de andere? Dat weet jij als IT’er als geen ander. En wat betekent het als ChatGPT gevoed wordt met gevoelige bedrijfsinformatie? Eén ding was mij heel duidelijk: de overheidsmedewerker had absoluut niet door wat voor gevolgen het kan hebben als hij bedrijfsgegevens via zijn privémailadres in een AI-tool stopt.

Geen angst, maar controle

Of je AI nu blokkeert, helemaal vrijgeeft of een tussenweg kiest, het is aan iedere organisatie om te bepalen hoe je met AI omgaat. Wees als IT-professional kritisch over dat beleid en maak de risico’s concreet. Het belangrijkste is dat je realiseert wat elke keuze precies betekent en of je niet onbewust vertrouwt op schijnveiligheid. Blokkeren zonder alternatief, dwingt medewerkers om creatief te worden op de verkeerde manier. Zorg dus voor een veilige AI-tool, duidelijke richtlijnen en training van medewerkers. Dan hoef je AI niet te blokkeren uit angst, maar kun je het gebruik ervan juist vanuit controle faciliteren.

Lees meer

Meer ondernemers? Zet in op AI-geletterdheid
Meer ondernemers? Zet in op AI-geletterdheid
AI in automotive: 4 toepassingen met impact
AI in automotive: 4 toepassingen met impact
AI-voicerecorder soundcore Work nu verkrijgbaar
AI-voicerecorder soundcore Work nu verkrijgbaar
AI in HR: van handige tool naar strategische collega
AI in HR: van handige tool naar strategische collega
3 manieren waarop AI je kan helpen je financiën te beheren
3 manieren waarop AI je kan helpen je financiën te beheren
Redactie Baaz
Door: Redactie Baaz
Redactie

Redactie Baaz

Redactie