Terug naar assessment

Concept managementrapport AI- en cyber-readiness

De organisatie gebruikt AI-tools in de dagelijkse operatie, maar formele kaders en leveranciersoverzicht zijn nog beperkt. De belangrijkste aanbevolen vervolgstappen zijn het vastleggen van AI-gebruiksregels, het aanscherpen van dataclassificatie en het valideren van kritieke leveranciers.

StatusConcept

Scope

Readiness-inschatting voor een Nederlandse MKB-organisatie op basis van operator-invoer over AI-gebruik, cyberbasis, leveranciers en AVG-aandachtspunten.

Disclaimer

Dit rapport is een praktische readiness-inschatting op basis van de aangeleverde informatie. Het is geen juridisch advies, geen certificering en geen garantie op naleving van AVG, NIS2 of andere wet- en regelgeving.

Aannames

  • De assessmentantwoorden zijn door de operator vastgelegd en nog niet door alle proceseigenaren gevalideerd.
  • Er zijn geen klantdocumenten of ruwe persoonsgegevens geupload voor deze conceptversie.
  • De score is deterministisch berekend; AI-output is alleen gebruikt voor concepttekst.

Aandachtspunten

  • Hoog
    AI governance

    AI-gebruiksbeleid ontbreekt

    Bewijs
    Assessmentantwoord: er is geen vastgesteld AI-gebruiksbeleid.
    Implicatie
    Medewerkers hebben mogelijk geen duidelijke kaders voor toegestane tools, broncontrole en invoer van vertrouwelijke informatie.
    Aanbevolen vervolgstap
    Stel een praktisch AI-gebruiksbeleid op met toegestane tools, verboden invoer, menselijke controle en meldroute bij twijfel.
    Inspanning
    Middel
    Vertrouwen
    Middel
  • Kritiek
    AVG

    Persoonsgegevens kunnen in publieke AI-tools terechtkomen

    Bewijs
    Assessmentantwoord: persoonsgegevens worden mogelijk ingevoerd in publieke AI-tools.
    Implicatie
    Dit is een privacy- en vertrouwelijkheidsrisico dat nader moet worden gevalideerd voordat AI-gebruik wordt opgeschaald.
    Aanbevolen vervolgstap
    Leg direct vast welke data niet in publieke AI-tools mag worden ingevoerd en communiceer dit naar medewerkers.
    Inspanning
    Klein
    Vertrouwen
    Hoog
  • Middel
    Leveranciers

    Leveranciersregister is onvolledig

    Bewijs
    Assessmentantwoord: er is nog geen compleet leveranciersregister.
    Implicatie
    Zonder overzicht van kritieke leveranciers is ketenrisico en verwerkersbeheer moeilijk aantoonbaar te sturen.
    Aanbevolen vervolgstap
    Maak een light leveranciersregister met kritieke SaaS-tools, datacategorieen, eigenaar en contractstatus.
    Inspanning
    Middel
    Vertrouwen
    Middel

30-dagen actielijst

  1. Bespreek en accordeer een concept AI-gebruiksbeleid met directie en proceseigenaren.
  2. Communiceer verboden invoer voor publieke AI-tools aan alle medewerkers.
  3. Maak een eerste leveranciersregister voor kritieke systemen en AI-tools.

90-dagen verbeterplan

  1. Voer een leveranciersreview uit voor kritieke SaaS- en AI-leveranciers.
  2. Plan een hersteltest voor back-ups en leg bevindingen vast.
  3. Verwerk AI-awareness in de reguliere security awareness cyclus.

Vragen voor validatie

  • Welke teams voeren persoonsgegevens of klantinformatie in AI-tools in?
  • Welke AI-tools zijn contractueel goedgekeurd voor vertrouwelijke bedrijfsinformatie?
  • Wie is eigenaar van leveranciersrisico en periodieke review?