Veilig werken met AI: hoe bescherm je je data?

AI wordt al massaal gebruikt op de werkvloer. Vaak niet omdat de organisatie er beleid voor heeft, maar omdat medewerkers zelf experimenteren met tools als ChatGPT of Gemini.

Handig voor de productiviteit, maar levensgevaarlijk voor je data. Een huisartsenpraktijk die per ongeluk patiëntgegevens in ChatGPT plakte en zo een datalek veroorzaakte, laat zien hoe dichtbij het risico al is.

En dat terwijl de druk vanuit wet- en regelgeving steeds groter wordt. NIS2, DORA en de AI Act vragen om aantoonbare grip op je datastromen. Tegelijkertijd willen organisaties innoveren en AI inzetten als versneller. Dat spanningsveld, tussen innovatie en veiligheid, stond centraal in het webinar “Veilig werken met AI: hoe bescherm je je data?”

Onder leiding van Remco van Oosterom (KPN) gingen Julie van Loeff (Security Manager, Microsoft), Dominique Hermans (Data Security Consultant, InSpark) en Mohammed Taybi (Security Specialist, InSpark) in gesprek over de risico’s én de oplossingen. 

🎧 Liever kijken dan lezen? Bekijk hieronder het volledige webinar.

Stap 1. Zonder fundament geen veilige AI

AI zonder fundament is als bouwen op drijfzand. Het lijkt even stevig, maar zakt vroeg of laat weg. Wie zonder strategie, dataschoonmaak of duidelijke kaders start, loopt het risico dat innovatie direct strandt op datalekken of compliance-issues.

Het fundament begint bij overzicht. Welke data is écht kritisch, wie kan erbij en is die informatie goed gelabeld? Als dat niet duidelijk is, ontbreekt de grip die nodig is om AI veilig in te zetten. *“Weet waar je kritische data staat en wie erbij kan, dan volgt grip vanzelf,”* zei Julie tijdens het webinar.

Daarna komt de stap die vaak wordt overgeslagen: het opschonen van de datahuishouding. Oude of irrelevante bestanden zorgen alleen maar voor ruis. Door te archiveren of verwijderen wat niet meer nodig is, bescherm je eenvoudiger wat er wél toe doet.

Tot slot: begin niet met een grootse uitrol, maar met een afgebakende pilot. Betrek meerdere afdelingen, kies een concrete use-case en toets tegelijk productiviteit en beveiliging. *“Toets productiviteit én beveiliging in dezelfde pilot,”* gaf Dominique als praktisch advies.

• Breng je datahuishouding op orde: verwijder, archiveer en label zorgvuldig.
• Stel een korte AI- en datastrategie vast met doelen, scope en rollen.
• Start klein met een pilot en breid gecontroleerd uit op basis van resultaat.

Wie dit fundament legt, creëert niet alleen veilige AI-toepassingen maar ook vertrouwen in de hele organisatie. Of zoals Mohammed het samenvatte: *“Zonder fundament geen veilige AI.”*

Stap 2. Zonder inzicht geen controle

AI-toepassingen verspreiden zich vaak sneller dan je organisatie kan bijhouden.

Medewerkers proberen nieuwe tools uit en voor je het weet zijn er tientallen apps in gebruik, zonder dat iemand zicht heeft op de datastromen. Dat voelt alsof je in het donker rijdt zonder dashboard: je beweegt vooruit, maar elke bocht kan verkeerd aflopen. *“Wat je niet ziet, kun je ook niet beschermen,”* zei Dominique tijdens het webinar.

Juist dat onzichtbare gebruik maakt organisaties kwetsbaar. In veel gevallen wordt pas duidelijk hoeveel AI-diensten er al draaien zodra tooling wordt ingezet om schaduwgebruik te detecteren. Die reality check is vaak confronterend en laat zien dat grip ontbreekt.

De oplossing begint bij overzicht. Microsoft Defender for Cloud Apps laat zien welke generatieve AI-apps actief zijn binnen je organisatie. Met Purview DSPM for AI monitor je datastromen en bescherm je gevoelige informatie beter. Zo zie je niet alleen wat er gebeurt, maar kun je ook direct bijsturen.

Dit inzicht moet continu gevoed worden. Het gaat niet om een eenmalige inventarisatie, maar om doorlopend monitoren. Julie benadrukte dat monitoring geen rem is op innovatie, maar juist de voorwaarde om veilig ruimte te geven.

• Zet tooling in die schaduwgebruik zichtbaar maakt.
• Monitor datastromen continu, met focus op gevoelige informatie.
• Gebruik inzichten om beleid en toegang direct bij te sturen.

Met dit overzicht werk je niet langer in het donker. Je krijgt stuurinformatie die niet alleen risico’s verkleint, maar ook vertrouwen geeft aan directie en toezichthouders.

Stap 3. Maak veilig gebruik aantoonbaar

Wanneer AI zijn plek krijgt in de organisatie, verschuift de uitdaging. Het gaat dan niet meer alleen om overzicht of inzicht, maar om veilig gebruik én het kunnen aantonen dat je grip hebt. Niet alleen richting auditors en toezichthouders, maar ook richting de board die vraagt om zekerheid.

Toegangsbeheer is daarbij je eerste verdedigingslijn. Zie het als het slot op de voordeur: niet iedereen hoeft overal bij te kunnen. Zeker niet wanneer AI-modellen gevoed worden met gevoelige informatie. *“Toegang is je eerste verdedigingslijn,”* zei Mohammed tijdens het webinar.

Labeling is de sleutel die bepaalt wie binnen mag. Wanneer data correct is gelabeld, herkent Copilot die gevoeligheid en respecteert de ingestelde rechten. Zo voorkom je dat vertrouwelijke documenten of persoonsgegevens onbedoeld in de output terechtkomen.

Denk terug aan het eerdere voorbeeld van de huisartsenpraktijk: met goede labeling was die fout eenvoudig voorkomen.

Tot slot gaat het om gedrag. Technologie kan veel afvangen, maar medewerkers blijven de sleutelbewaarders. Door trainingen en duidelijke richtlijnen leren teams slim én veilig met AI werken. Julie benadrukte dat governance er niet is om te remmen, maar om ruimte te scheppen voor verantwoord gebruik.

• Regel toegang strikt: bepaal wie welke data met AI mag gebruiken.
• Label gevoelige informatie zodat Copilot en andere AI-tools de juiste grenzen respecteren.
• Train medewerkers zodat veilig gebruik vanzelf onderdeel wordt van de praktijk.

Met deze stap til je AI-adoptie naar een volwassen niveau. Niet alleen omdat de wetgeving (NIS2, DORA, AI Act) dat vraagt, maar ook omdat aantoonbare compliance vertrouwen schept bij klanten, partners en de board. Het geeft rust, versnelt adoptie en kan zelfs een concurrentievoordeel opleveren.

Conclusie: veilig versnellen met AI doe je nu

AI is niet langer iets van morgen. Het gebeurt vandaag al in je organisatie, vaak buiten beleid en toezicht om. Dat brengt risico’s, maar het biedt ook enorme kansen.

De drie stappen uit het webinar laten zien dat je grip kunt krijgen zonder innovatie te blokkeren: bouw een fundament, creëer inzicht en maak veilig gebruik aantoonbaar. Dat was de gezamenlijke boodschap van Julie van Loeff, Dominique Hermans en Mohammed Taybi.

Wie die route volgt, voorkomt dat AI een bron van datalekken en compliancezorgen wordt. In plaats daarvan wordt het een versneller die rust geeft in de boardroom en vertrouwen bij medewerkers.

Sparren over jouw organisatie?

Een strategisch gesprek met een expert van InSpark helpt om scherp te krijgen waar de kansen liggen en waar de risico’s zitten. Geen demo of pitch. Gewoon een goed gesprek over hoe jij grip houdt op AI, data en compliance.

Plan vandaag nog een sessie met een van onze experts.*