AI en veiligheid voor het MKB
De kansen en risico's van AI zijn reëel. Wij helpen je grip te krijgen op beide.
AI is geen hype meer. Het is gereedschap dat steeds meer medewerkers dagelijks gebruiken. Soms bewust, soms zonder dat iemand het weet.
Goed bedoeld. Maar zonder zicht op wat er op het spel staat. Wij helpen je grip houden op jouw AI-tools, toegang en bedrijfsdata.
Elke oplossing die wij bouwen heeft duidelijke afspraken. We leggen vooraf vast welke systemen we koppelen, welke gegevens we verwerken en met welk doel. Onze automatiseringen lezen gegevens uit. Ze schrijven niet terug naar financiële systemen zonder duidelijk overleg en schriftelijke afspraak.
Elke klant heeft een eigen, afgeschermde omgeving met eigen opslag, inloggegevens en toegangspaden. Jouw data is hard gescheiden en nooit zichtbaar vanuit een andere klantomgeving.
Verwerkersovereenkomst, subverwerkerlijst, privacyverklaring. Dat is voor ons geen papierwerk voor achteraf, maar onderdeel van de afspraken die we serieus nemen.
Het verschil zit in wat we níet doen.
Sommige koppelingen bouwen we niet, ook als een klant daarom vraagt. Dat vinden wij onze taak als adviseur.
We geven geen directe schrijftoegang aan AI-systemen op financiële transacties of boekhoudmodules.
We verwerken geen bijzondere persoonsgegevens in geautomatiseerde AI-workflows.
We werken niet met ongedocumenteerde of niet-transparante AI-tools waarvan we de werking niet kunnen uitleggen.
We beloven geen resultaten die afhankelijk zijn van uitkomsten van AI zonder menselijke controle.
Soms betekent dat dat we iets niet aanbieden wat je graag zou willen. Liever dat, dan iets bouwen wat niet te verantwoorden is.
Onze automatiseringsoplossingen draaien op servers in Amsterdam (DigitalOcean, AMS3-datacenter). Je gegevens worden in Nederland gehost en blijven binnen de EU. Vereist een koppeling dat anders, dan informeren we je daar vooraf over.
Voor AI-functionaliteit maken wij gebruik van de Claude API van Anthropic. Via de API worden jouw gegevens niet gebruikt voor het trainen van AI-modellen. We sturen alleen de informatie mee die strikt noodzakelijk is voor de werking van een oplossing.
We werken met het principe van minimale toegang. Elke koppeling krijgt alleen de rechten die strikt noodzakelijk zijn. API-sleutels en andere toegangscodes worden versleuteld opgeslagen en nooit gedeeld.
We maken dagelijks back-ups en bewaren die 14 dagen. Bij een storing of datalek weten we wat we moeten doen en binnen welke termijn.
De grootste risico's zitten vaak niet buiten de organisatie, maar erin. Hieronder een paar onderwerpen die we bij bedrijven regelmatig tegenkomen en die niet altijd uit zichzelf op tafel komen.
Via vibecoding schrijft iemand met een AI-tool in korte tijd een script of applicatie die rechtstreeks toegang krijgt tot een klantdatabase, een boekhoudpakket of de mailomgeving. Werkt het script niet zoals bedoeld, of lekt er data, dan is dat moeilijk terug te draaien. Denk per koppeling na of directe toegang écht nodig is en welke consequenties een fout kan hebben.
Microsoft 365 Copilot, Google Workspace AI, boekhoudpakketten met AI-functies. Al die tools verwerken jouw bedrijfsgegevens. Maar onder welke voorwaarden? Worden deze gegevens gebruikt voor training? Wie verwerkt ze? De meeste directeuren hebben dit nooit gelezen.
Als je data aanlevert aan een boekhouder, een logistiek dienstverlener of een marketingbureau, verwerken zij die mogelijk via hun eigen AI-tools. Heb je daar afspraken over? Staat dat in jullie overeenkomsten?
Als een AI-tool een e-mail verstuurt, een order plaatst of een prijs aanpast, moet je weten of dat terug te draaien is. Het verschil tussen AI als hulpmiddel en AI als risico zit precies hier. Per bedrijfsproces nadenken over de gevolgen van een fout is een kleine investering met grote waarde.
De meeste MKB-bedrijven hebben dat niet. Niet omdat ze er niet over nadenken, maar omdat het er niet van komt. Een eenvoudig intern document van twee à drie pagina's dat vastlegt wat medewerkers mogen, wat niet, en wie beslist als iemand twijfelt, helpt vaak al veel.
Nee. We werken met de API van Anthropic, niet met consumentenproducten. Via de API worden jouw gegevens niet gebruikt voor het trainen van AI-modellen.
Alleen als dat voor de oplossing noodzakelijk is, en uitsluitend op basis van read-only koppelingen tenzij anders afgesproken. We vragen nooit meer toegang dan strikt nodig is en leggen dat van tevoren schriftelijk vast.
Vibecoding is het schrijven van code met behulp van AI. Je beschrijft wat je wilt en de AI schrijft het script. Het resultaat werkt vaak snel, maar is zelden getest, gedocumenteerd of beveiligd. Als die code toegang heeft tot bedrijfssystemen of klantdata, is dat een reëel risico.
We hebben een vastgelegd plan voor storingen en datalekken. Bij een storing of datalek informeren we je zo snel mogelijk. Als persoonsgegevens betrokken zijn, begeleiden we je bij de melding aan de Autoriteit Persoonsgegevens.
Ja, bij elke opdracht waarbij persoonsgegevens worden verwerkt. Dat is wettelijk verplicht en voor ons standaard onderdeel van de samenwerking.
Dan zeggen we dat eerlijk en leggen we uit waarom. Soms verwijzen we je door naar een partij die beter geschikt is voor die specifieke vraag.
Ja. Dat is onderdeel van ons adviesaanbod. We maken geen dikke beleidsstukken, maar praktische documenten die directeuren en medewerkers daadwerkelijk gebruiken.
We bouwen liever minder dan te veel. Dat is wat veiligheid bij ons betekent.
Wil je weten hoe jouw organisatie er op dit moment voor staat op het gebied van AI en veiligheid? We kijken graag mee. Eerlijk, concreet en zonder verkooppraatje.
Geen verplichtingen. Geen technisch verhaal. Gewoon een gesprek.
