AI en informatiebeveiliging
Techniek

AI en informatiebeveiliging: kansen, risico’s en aandachtspunten  

Artificial Intelligence (AI) ontwikkelt zich razendsnel en vindt in hoog tempo zijn weg naar onderwijs, onderzoek en bedrijfsvoering. AI brengt naast kansen, ook nieuwe risico’s met zich mee voor informatiebeveiliging. In dit artikel lees je waar instellingen rekening mee moeten houden vanuit informatiebeveiliging. 

AI raakt alle domeinen binnen instellingen 

AI is geen op zichzelf staande technologie. Het raakt vrijwel alle processen en disciplines binnen instellingen. Denk aan: 

  • Onderwijs – AI ondersteunt docenten in het maken van lesmateriaal, personaliseert leerroutes en helpt bij toetsontwikkeling. Daarbij is het belangrijk te waken voor bias, transparantie en het veilig verwerken van onderwijsdata. 
  • Onderzoek – AI versnelt data-analyse, modelontwikkeling en samenwerking. Tegelijkertijd ontstaan risico’s rondom datakwaliteit, reproduceerbaarheid, modelintegriteit en de beveiliging van onderzoeksdata. 
  • Bedrijfsvoering – AI wordt o.a. gebruikt voor procesoptimalisatie, HR-ondersteuning, communicatie en planning. Hier spelen vragen over betrouwbaarheid, verantwoordelijkheid, controleerbaarheid en correcte inzet van algoritmes. 

Deze brede inzet vraagt om een zorgvuldige en beheerste introductie van AI binnen instellingen, waarbij informatiebeveiliging, governance en transparantie vanaf het begin worden meegenomen. 

Risico’s voor informatiebeveiliging 

Naast de kansen brengt AI ook stevige beveiligingsuitdagingen met zich mee. Denk aan: 

  • Dataprivacy – Trainingsdata kunnen gevoelige informatie bevatten. Onjuiste of ongewenste dataverzameling kan leiden tot overtreding van wet- en regelgeving. 
  • Modelintegriteit – AI-modellen kunnen worden gemanipuleerd of misleid via data poisoning of adversarial attacks. 
  • Beschikbaarheid – Veel AI-toepassingen leunen op cloud-diensten of externe leveranciers, wat afhankelijkheden en risico’s in de keten versterkt. 
  • Transparantie en uitlegbaarheid – Het is niet altijd duidelijk hoe een model tot een beslissing komt. Dit beïnvloedt controle, verantwoording en controleerbaarheid. 
  • Verkeerd of onbeveiligd gebruik – Denk aan shadow AI, het gebruik van publieke generatieve AI-toepassingen zonder afspraken, of onvoldoende beveiligde prompts en output. 

Voor instellingen is het daarom belangrijk om AI toe te passen binnen bestaande kaders voor informatiebeveiliging en governance. 

Misbruik van AI door kwaadwillenden 

AI wordt ook gebruikt door kwaadwillenden, waaronder cybercriminelen en statelijke actoren. Dit versterkt bestaande dreigingen en voegt nieuwe risico’s toe, zoals: 

  • geautomatiseerde en schaalbare aanvallen op systemen 
  • overtuigend opgebouwde phishingberichten, deepfakes en andere vormen van social engineering 
  • ondersteuning bij het ontwikkelen of aanpassen van malware 
  • beïnvloedingscampagnes en geavanceerde misleidingstechnieken 
  • aanvallen op AI-systemen zelf, zoals model poisoning of het manipuleren van trainingsdata

Instellingen dienen rekening te houden met deze inzet van AI door tegenstanders en passende maatregelen te treffen binnen hun beveiligings- en risicobeheerprocessen. 

Kansen van AI voor informatiebeveiliging 

Tegelijkertijd wordt AI ook positief ingezet voor defensieve doeleinden. Moderne SOCs en SIEM- systemen maken steeds vaker gebruik van AI om grote hoeveelheden data real-time te analyseren, afwijkend gedrag te detecteren en sneller te reageren op incidenten.  

Bestaande kaders helpen om AI beheersbaar te maken 

AI vraagt niet om een volledig nieuw beveiligingskader. Er bestaan al diverse normen, richtlijnen en frameworks die instellingen kunnen gebruiken om AI structureel verantwoord in te richten. Voorbeelden zijn: 

  • ISO/IEC 42001 (AI managementsysteem) 
  • ISO/IEC 23894 (risicomanagement voor AI) 
  • Algoritmekader 
  • Ethische Richtlijnen voor Betrouwbare AI 
  • AI Act 
  • UNESCO-richtlijnen 

Binnen het hoger onderwijs is het Toetsingskader Informatiebeveiliging (en ook voor Privacy) een bruikbaar hulpmiddel. AI-risico’s kunnen worden gekoppeld aan bestaande domeinen, waardoor instellingen aansluiten bij hun huidige governance, maatregelen en volwassenheidsniveaus.

Wat kunnen instellingen nu al doen? 

  • Neem AI op in bestaande risicobeheersprocessen. 
  • Borg relevante en brede betrokkenheid binnen de organisatie door AI-afwegingen op te nemen in bestaande governance- en besluitvormingsprocessen.
  • Zorg voor duidelijke afspraken over het gebruik van generatieve AI-toepassingen. 
  • Maak inzichtelijk waar AI wordt toegepast en wie verantwoordelijk is. 
  • Voorkom shadow AI door medewerkers goed te informeren en alternatieven aan te bieden. 

Wil je als instelling werken aan een veilige en verantwoorde inzet van AI?

Download dan de handreiking.

Handreiking AI en informatiebeveiliging

Voor aanvullende informatie over privacy, ethiek en publiek waarden rondom AI: 

Gerelateerde artikelen

Quantumveiligheid: van bewustzijn naar actie 

Quantumcomputers vormen een bedreiging voor onze huidige beveiligingssystemen. Wachten tot Q-day is geen optie. Hoe maak je je digitale infrastructuur bestand tegen de quantumdreiging?

Nieuwe technologie

Quantumveiligheid: van bewustzijn naar actie