Artificial Intelligence ontwikkelt zich razendsnel. Waar AI eerst vooral werd gezien als experimenteel of futuristisch, is het nu een dagelijkse tool geworden binnen organisaties. Van samenvatten en schrijven tot analyseren, automatiseren en ondersteunen van medewerkers: AI is in korte tijd van “nice to have” naar “bijna onmisbaar” gegaan. Tegelijkertijd groeit ook het aantal berichten waarin AI-tools als veilig en eenvoudig worden gepresenteerd, soms bijna alsof een paar instellingen voldoende zijn om alle risico’s af te dekken. De werkelijkheid is een stuk genuanceerder. ISO/IEC 42001 benadrukt juist dat organisaties AI gestructureerd moeten beheren via een managementsysteem, met aandacht voor risico’s, transparantie en continue verbetering.
Het echte probleem: AI wordt gebruikt zonder duidelijke kaders
Bij MonkeySoft zien we het steeds vaker in de praktijk: medewerkers voeren gevoelige informatie in AI-tools in, delen interne documenten of uploaden complete Excel-bestanden zonder goed te weten wat de gevolgen zijn. Denk aan persoonsgegevens, financiële informatie, interne analyses, klantdata of zelfs salarisstroken. Dat gebeurt meestal niet uit onwil, maar uit onwetendheid. Mensen willen sneller werken, slimmer werken en tijd besparen. Precies daarom is AI zo aantrekkelijk. Maar zonder duidelijke kaders kan die efficiëntiewinst omslaan in risico’s voor privacy, informatiebeveiliging en compliance.
Veel organisaties focussen zich daarbij uitsluitend op hun eigen medewerkers. En dat is begrijpelijk, maar tegelijk onvoldoende.
Niet alleen je medewerkers, maar ook iedereen om je organisatie heen
Een veilige AI-aanpak stopt niet bij interne training. Je moet óók kijken naar de mensen en partijen buiten je eigen organisatie die toegang hebben tot data, processen of AI-tools. Denk aan ingehuurde consultants, freelancers, zzp’ers, externe beheerders, softwarepartners, leveranciers, implementatiepartners en andere partijen die namens jouw organisatie werken of met jouw gegevens in aanraking komen.
Dat is niet alleen logisch vanuit security en privacy, maar wordt ook ondersteund door de uitleg van de Europese Commissie bij de EU AI Act. Daarin staat dat AI-geletterdheid niet alleen geldt voor medewerkers, maar ook voor “other persons dealing with AI systems on behalf of” een organisatie, waaronder bijvoorbeeld contractors en service providers.
Dat betekent in de praktijk:
als jij een externe partij inhuurt die met Copilot, ChatGPT, Claude of andere AI-tools werkt binnen jouw processen, dan moet ook die partij weten wat verantwoord gebruik is.
Alleen je eigen team opleiden is dus niet genoeg.
Sterker nog: in veel organisaties zijn leveranciers en externe partners juist een van de grootste blinde vlekken. Want wie controleert of zij veilig prompten? Wie bepaalt welke data gedeeld mag worden? En wie legt vast welke afspraken gelden als een derde partij AI gebruikt bij het verwerken van jouw informatie?
“AI veilig instellen” is geen vinkje, maar governance
Een veelgehoorde misvatting is dat AI veilig is zodra je een paar instellingen goed zet. Natuurlijk zijn technische instellingen belangrijk, bijvoorbeeld rond datagebruik, toegangsrechten, logging, tenant-instellingen of dataretentie. Maar echte veiligheid ontstaat pas wanneer techniek, beleid, bewustwording en procesafspraken samenkomen.
Precies daarom wordt AI-governance steeds belangrijker.
ISO/IEC 42001 is hierin een belangrijke ontwikkeling. Volgens ISO is dit de eerste internationale standaard voor een Artificial Intelligence Management System (AIMS). De norm beschrijft hoe organisaties een AI-managementsysteem kunnen opzetten, implementeren, onderhouden en continu verbeteren. Hij is bedoeld voor organisaties die AI ontwikkelen, leveren of gebruiken, en helpt bij het verantwoord omgaan met AI-risico’s en kansen. Daarbij benoemt ISO expliciet onderwerpen als transparantie, betrouwbaarheid en verantwoord gebruik.
Met andere woorden:
AI moet je niet alleen technisch inregelen, maar ook bestuurlijk en organisatorisch borgen.
ISO/IEC 42001 staat niet op zichzelf
Wat ISO/IEC 42001 extra krachtig maakt, is dat deze norm goed aansluit op bestaande managementsystemen. TÜV NORD beschrijft dat ISO 42001 dezelfde geharmoniseerde structuur volgt als andere ISO-managementsysteemnormen en daardoor goed te integreren is met onder meer ISO 9001, ISO 27001 en ISO 27701.
Voor organisaties is dat belangrijk, want AI-governance staat niet los van informatiebeveiliging, privacy en kwaliteitsmanagement.
- ISO 27001 helpt bij het beschermen van informatie en het beheersen van security-risico’s.
- ISO 27701 sluit daarop aan met extra focus op privacymanagement en de omgang met persoonsgegevens.
- ISO/IEC 42001 voegt daar specifiek AI-governance aan toe: hoe je AI-systemen verantwoord inzet, beheert en verbetert.
Voor organisaties die al werken met security- en privacykaders is ISO/IEC 42001 daarom geen los eiland, maar een logische aanvulling.
Ook buiten ISO groeit de druk om AI beheerst in te zetten
Naast normen neemt ook de wet- en regelgeving toe. De Autoriteit Persoonsgegevens geeft aan dat de EU AI Act gefaseerd wordt ingevoerd. Sinds 2 februari 2025 zijn bepaalde AI-systemen verboden en zijn organisaties verplicht om te zorgen voor een voldoende niveau van AI literacy. Voor andere AI-systemen gelden vanaf 2 augustus 2026 aanvullende eisen.
De Europese Commissie verduidelijkt daarbij dat AI literacy niet alleen gaat over technische kennis, maar over vaardigheden, kennis en begrip die nodig zijn om AI geïnformeerd en verantwoord te gebruiken, rekening houdend met kansen, risico’s en mogelijke schade. Die verplichting raakt dus niet alleen het management of IT, maar iedereen die met AI werkt — inclusief externe betrokkenen die namens de organisatie handelen.
Dat maakt één ding heel duidelijk:
organisaties kunnen zich niet langer veroorloven om AI “er een beetje bij te doen”.
Een praktisch raamwerk: NIST AI RMF
Voor organisaties die naast normeringen ook behoefte hebben aan een praktisch governance-raamwerk, is het NIST AI Risk Management Framework (AI RMF) interessant. NIST beschrijft dit als een vrijwillig framework voor het beheersen van AI-risico’s, opgebouwd rond vier kernfuncties: Govern, Map, Measure en Manage. Governance loopt daarbij als rode draad door de andere onderdelen heen.
Juist voor organisaties die willen starten met AI-governance kan dat een bruikbare denkrichting zijn:
eerst governance en verantwoordelijkheid, dan inzicht in de risico’s, vervolgens meten en daarna beheersen en verbeteren.
Wat betekent dit concreet voor organisaties?
Als je AI serieus inzet, dan is een veilige aanpak meer dan alleen “welke tool gebruik je?”. Het gaat ook om vragen als:
- Welke gegevens mogen medewerkers en externen wel of niet delen?
- Welke leveranciers werken namens ons met AI?
- Hoe leggen we contractueel vast wat wel en niet mag?
- Welke instellingen moeten in Copilot, Claude of ChatGPT goed staan?
- Hoe trainen we mensen om veilig én effectief te prompten?
- Hoe borgen we AI binnen onze bestaande security-, privacy- en kwaliteitsprocessen?
- Hoe maken we aantoonbaar dat we AI verantwoord gebruiken?
Dat zijn precies de vragen waar veel organisaties nu tegenaan lopen.
Hoe MonkeySoft helpt
Ik ben Stephan Eizinga van MonkeySoft en wij helpen organisaties om AI niet alleen slim, maar ook verantwoord in te zetten.
Dat doen we onder andere met:
1. AI-trainingen
Niet alleen voor je eigen medewerkers, maar juist ook met aandacht voor ingehuurde krachten, partners en teams die namens jouw organisatie met AI werken.
2. AI-beleid en governance
We helpen bij het opstellen van duidelijke kaders: welke tools zijn toegestaan, welke data mag gedeeld worden, hoe ga je om met prompts, logging, privacy en leveranciers?
3. Veilige inrichting van AI-diensten
Denk aan Copilot, Claude, ChatGPT en andere AI-oplossingen. We kijken naar de juiste instellingen, risico’s en gebruiksafspraken.
4. Aansluiting op normeringen en compliance
We helpen organisaties grip te krijgen op AI in relatie tot normeringen en kaders zoals ISO/IEC 42001, ISO 27001, ISO 27701 en praktische governance-raamwerken zoals NIST AI RMF.
Conclusie: AI vraagt niet alleen om adoptie, maar om volwassenheid
AI wordt steeds volwassener.
De vraag is alleen: groeit jouw organisatie daarin mee?
Want veilig en verantwoord AI-gebruik gaat niet alleen over technologie. Het gaat over kennis, beleid, leveranciers, afspraken, governance en bewustwording. Niet alleen bij je eigen mensen, maar ook bij iedereen die namens jouw organisatie werkt of toegang heeft tot jouw gegevens en processen.
Wie AI serieus neemt, moet dus verder kijken dan alleen “welke tool kiezen we?”.
De echte vraag is:
hoe zorgen we dat AI waarde oplevert zonder dat veiligheid, privacy en compliance onder druk komen te staan?
Daar helpen wij bij.
Benieuwd waar AI in jouw situatie waarde toevoegt? Neem contact op.