Experts waarschuwen: Ondoordacht AI-gebruik maakt organisaties kwetsbaar

19 juni 2025 Consultancy.nl

De inzet van AI binnen organisaties groeit explosief. Maar waar AI vooruitsprint, blijven kaders en gedrag vaak achter, zeggen cybersecurity-experts Evert van Essen, Marlou Besseling en Heleen van de Groep van Brooklyn Partners: “AI wordt massaal omarmd, maar veel medewerkers hebben geen idee wat de risico’s zijn. CISO’s moeten dan ook werk maken van AI-geletterdheid.”

Veel organisaties vertrouwen nog altijd op technische maatregelen en verplichte e-learnings. Maar nu AI phishingcampagnes razendsnel personaliseert en deepfakes steeds overtuigender worden, is een bredere aanpak nodig. “Je kunt het gedrag van mensen niet patchen zoals je software patcht, maar je kunt het wél versterken”, zegt Heleen van de Groep, die dagelijks met organisaties werkt aan gedragsverandering.

“AI verandert het dreigingslandschap. Aanvallen worden subtieler en overtuigender. Dat mensen gebruikmaken van AI staat vast, daarom is het cruciaal dat ze weten wat de risico’s zijn én hoe ze AI veilig kunnen inzetten”, aldus Van de Groep. “De veiligheid van organisaties valt of staat met hoe mensen denken, beslissen en handelen.”

“Organisaties moeten anticiperen op de nieuwe realiteit”, vult cybersecurity- en AI-expert Marlou Besseling aan. “Generatieve AI verandert de spelregels. Aanvallers werken sneller en effectiever. Als organisatie wil je niet achter de feiten aanlopen, maar vooruitkijken. En erkennen dat mensen AI-tools (gaan) gebruiken – met of zonder beleid – hoort daarbij.

“Zonder duidelijke richtlijnen delen medewerkers soms onbewust gevoelige informatie in prompts of uploads. Dat zijn geen onwil-acties, maar onwetendheid. Als je daar niets mee doet, ontstaan er nieuwe datalekken zonder dat iemand het merkt.”

De oplossing? Opleiden, betrekken en richting geven. Besseling: “Je kunt niet overal een technische barrière voor zetten. Maar je kunt mensen wél leren hoe ze AI veilig en verantwoord gebruiken. Zo voorkom je problemen – nog vóór ze ontstaan.”

Rol van CISO verandert mee

Deze ontwikkelingen hebben gevolgen voor hoe cybersecurity geleid wordt. De klassieke CISO, vooral risicomanager en toolbeheerder, maakt plaats voor een nieuwe rol: cultuurbouwer, gedragskundige en sparringspartner voor het bestuur.

“Vandaag de dag is dat nog geen vanzelfsprekendheid, daarom noemen we het ook wel een pioneer CISO”, zegt Evert van Essen, die securityleiders coacht bij cultuurverandering. Het verschil? “De pioneer CISO stelt niet alleen technische eisen, maar ontwikkelt een visie op hoe mensen binnen de organisatie zich veilig gedragen.”

Van Essen noemt vier verschuivingen:

  • Van controleren naar coachen
  • Van regels opleggen naar bewustzijn creëren
  • Van reactief reageren naar strategisch vooruitdenken
  • Van incidentbeheer naar organisatiebreed vertrouwen

“Je rol als CISO is niet om het bestuur bang te maken met risico’s, maar om te laten zien dat je met de juiste aanpak de veiligheid vergroot”, stelt Van Essen.

Vertrouwen boven controle motiveert

Ook het Nationaal Cyber Security Centrum (NCSC) pleit voor een herziening van hoe organisaties omgaan met menselijk gedrag binnen security. Waar nog vaak gesproken wordt over “de mens als zwakste schakel”, betogen zij dat dit perspectief contraproductief werkt. “Veel securitymaatregelen zorgen eerder voor regelnavolging en angst om fouten te maken, dan voor écht veilig gedrag.”

De boodschap van het NCSC: mensen willen bijdragen, problemen oplossen en waarde toevoegen. Maar een overmatige focus op controle, naleving en afstraffing ondermijnt die motivatie. In plaats daarvan pleit de instelling voor een cultuur waarin leren van fouten wordt gestimuleerd en waarin mensen worden gezien als eerste – niet laatste – verdedigingslinie.

Of zoals het NCSC het samenvat: “Veel goed bedoeld securitybeleid lokt juist onveiliger gedrag uit. Om digitaal weerbaar te zijn kun je niet om je belangrijkste asset heen: je mensen.”

Pionierende CISO’s kijken anders naar AI – en handelen anders

CISO’s die AI niet onderschatten, passen hun strategie daarop aan, legt Besseling uit. “Ze combineren technologie met gedragsverandering, maken medewerkers medeverantwoordelijk en durven afscheid te nemen van een puur controlerende rol.”

Zij hanteren een andere aanpak:

  • Formuleer een visie – Waar willen we over drie jaar staan qua securitycultuur?
  • Actieve AI-risicoanalyse – Zowel technisch als sociaal: wat doen medewerkers met AI-tools?
  • Heldere richtlijnen – Niet alleen wat mag, maar ook waarom dat zo is.
  • Ambassadeursnetwerken – Betrek medewerkers actief bij gedragsverandering.
  • Training op principes – Leer medewerkers denken als aanvaller en herkennen hoe beïnvloeding werkt.

De urgentie is duidelijk

De urgentie is volgens Van de Groep duidelijk: “Securityleiders die blijven hangen in compliance en technische controle houden de illusie van veiligheid in stand. De echte impact ligt bij de mensen in je organisatie – en de keuzes die jij als CISO maakt.”

Lees ook

AI & Gen AI nieuws

AI & Gen AI adviesbureaus AI & Gen AI consultancy diensten

Cybersecurity nieuws

Cybersecurity adviesbureaus Cybersecurity consultancy diensten