​​AI & security: ervaringen en internationale standaarden​

Show Notes

In deze podcast luister je naar het gesprek dat Jeroen Prinse (voormalig CISO bij het NCSC, nu strategisch adviseur) en Rob van der Veer (Chief AI Officer bij SIG en AI standaardmaker bij ISO en de AI Act) hadden tijdens het webinar van 12 februari 2026.

We willen AI het liefst aan alles koppelen en naar onze data laten kijken, als we het kunnen vertrouwen. Want: waar gaat die data naar toe en hoe voorkomen we dat AI gemanipuleerd wordt? 

​Rob en Jeroen hebben het over AI toepassen voor security, over het programmeren met AI en over het beveiligen van AI systemen, inclusief Agentic AI. Daarvoor putten de heren samen uit 20 jaar ervaring in security plus 34 jaar in AI. Zij geven een duidelijk overzicht, praktische tips en verwijzingen naar nuttige bronnen zoals owaspai.org en ncsc.nl/artificial-intelligence. 

Transcript

Rob van der Veer: Je geeft het al aan. Shadow IT, shadow AI wil je voorkomen. Dat betekent dat je intern moet concurreren met die alternatieven. Je moet zorgen dat de mensen iets kunnen met AI in plaats van het ze te onthouden. Anders nodig je Shadow AI uit.

Jeroen Prinse: Mijns inziens brengt de drang om te voldoen aan die standaarden vaak één groot probleem met zich mee. We focussen ons te veel focussen op compliancy op een standaard. Dat is geen security. Compliancy is geen security en security is geen compliancy. Ik zeg altijd: compliancy is the perfect level of security when you're only threat is the auditor.

Walter van Wijk: Dit is een podcast van het CIP, het Centrum Informatiebeveiliging en Privacybescherming.

Walter van Wijk: We gaan jullie hopelijk inspireren met een webinar over AI security. De onderwerpen die vooral aan bod komen, zijn ervaringen en internationale standaarden. Mijn naam is Walter van Wijk. Ik ben van CIP. De sprekers van vandaag zijn Rob van der Veer en Jeroen Prinse.

Rob van der Veer: Ik wil beginnen met hoe Jeroen en ik elkaar kennen. We komen allebei uit security. Dat is een small world. Je ziet elkaar door de jaren heen als oude rotten in het vak op conferenties en spreekbeurten. We werkten ook samen vanuit SIG, toen je jarenlang CISO was bij het NCSC. Dat ging over software security. Ook op het vlak van AI werkten we samen, want ik was ooit te gast in jouw podcast 're:invent security'. Ik heb even gekeken. Weet je hoelang dat geleden is?

Jeroen Prinse: Ik denk ongeveer een jaar of twee geleden. Ik weet dat jij onze allereerste gast was. Dat vonden wij een hele grote eer. Daar hebben we ook veel van opgestoken.

Rob van der Veer: Het was een ontzettend leuk gesprek. Jullie hadden een podcaststudio geregeld. Ik heb nog nooit zo goed geklonken. Het voelt veel langer geleden, want er is ongelooflijk veel gebeurd. Het is inderdaad twee jaar geleden. Het was in januari 2024, maar het lijkt wel vijf of zes jaar geleden. What a time to be alive. Ik vraag me af of het als CISO nog te doen is om dat bij te houden. Hoe pak je dat aan?

Jeroen Prinse: Het is niet makkelijk. Ik denk dat dat vooropgesteld moet worden. In het kort denk ik dat het onze verantwoordelijkheid is, als mensen in dit veld, om erg nieuwsgierig te blijven. Als ik één ding heb geleerd van twee andere gasten in onze podcast, is het dat de C in CISO staat voor 'change' of 'curiosity'. Ik denk dat het als security leider in dit veld jouw taak is om bij te blijven met nieuwe technologie en ontwikkelingen. En vooral om jouw organisatie te loodsen in tijden van deze veranderingen en nieuwe technologie. Je moet echt nieuwsgierig zijn en AI snappen en snappen wat het voor je organisatie kan betekenen. Ik denk niet dat de vraag is of je als CISO, ISO of een andere security functionaris AI volledig tot in de details snapt zoals jij dat wél doet, Rob.

Jeroen Prinse: Ik denk dat je moet begrijpen wat er kan misgaan voor je organisatie, maar vooral ook wat voor kansen het biedt voor je organisatie. De vraag is niet of je organisatie AI wil gaan gebruiken voor haar bedrijfsactiviteiten. Dat gaat en wil ze doen. Anders heb je te maken met een slechte concurrentiepositie, want je concurrenten gaan het wél doen. Je moet wel. Ik wil even één quote aanhalen van een andere gast in onze podcast. Die noemde AI bijvoorbeeld al een keer a weapon of mass disruption. Het gaat echt de boel opschudden. Daarover kunnen we het eens zijn, denk ik.

Rob van der Veer: Als ik werk met security professionals, probeer ik ze altijd een beetje in toom te houden. We zijn ongelooflijk geïnteresseerd in wat AI allemaal kan, ook in ons dagelijks leven. Ik merk dat ze met veel vragen zitten, maar het zijn wel security mensen. Wij zijn security mensen. Onze taak is om die systemen veilig te maken en AI te gebruiken in ons werk. Wat de organisatie waarvan we onderdeel uitmaken allemaal kan met AI en de ethische kanten van de zaak en al dat soort aspecten zijn interessant. Ik zeg echter altijd dat je eerst die systemen moet beveiligen. Dan kun je je gaan verdiepen in al die andere zaken. Dat is het downscopen van die nieuwsgierigheid. Jij zei het al. Je hoeft geen superexpert te worden in AI. Vooral het downscopen op security is een handige discipline, want anders is het echt niet te doen. Er gebeurt echt te veel. Ik wil even aftasten welke onderwerpen we gaan behandelen. Wat voor onderwerpen heb jij om langs te gaan, als je kijkt naar jouw ervaringen, Jeroen?

Jeroen Prinse: Ik denk dat ik in ons gesprek even zou willen stilstaan bij enkele voorbeelden die ik heb gezien bij klanten. Hoe zij bijvoorbeeld machine learning en AI inzetten binnen hun processen. Welke rol je als security afdeling zou kunnen of moeten spelen bij dit soort toepassingen. En jij, Rob?

Rob van der Veer: Wat je zegt, is AI toepassen voor security in jouw werk en dat van je security collega's en hoe je als security afdeling zorgt dat die AI-systemen beveiligd zijn. Ik werk voor Software Improvement Group. Wij zijn heel erg bezig met kwaliteit van software. Programmeren met AI vind ik een interessant onderwerp. Er zijn veel mensen daarmee bezig. Ik denk dat jij op dat vlak ook wat dingen te melden hebt. Drie onderwerpen. Laten we AI toepassen voor security als eerste nemen. Wat is hier jouw ervaring in jouw werk?

Jeroen Prinse: Ik denk dat ik wel kan vertellen over een bepaalde use case die we bij het NCSC hebben gehad. Iedereen weet dat de Cyberbeveiligingswet NIS2 eraan komt. Daardoor groeit ook het aantal doelgroepen die het NCSC moet bedienen enorm van enkele honderden naar meerdere miljoenen. Daarnaast komen er meerdere kwetsbaarheden per dag uit waarover je als organisatie moet besluiten. Ga ik hierin actief een adviserende rol spelen? Ga ik hieraan een kennisproduct wijden? Als het dermate groot is en er veel sprake is van misbruik van deze kwetsbaarheid, ga ik hiervoor een incident aanmaken en opschalen binnen de overheid of Nederland? Het is de wettelijke taak van het NCSC om te adviseren over kwetsbaarheden.

Jeroen Prinse: Voor advies in die prioritering, om dat te ondersteunen, om te weten waar je in eerste instantie een product voor gaat maken of een advies op uitbrengen, maken zij gebruik van machine learning/AI. Zij hebben namelijk een eigen scoresysteem ontwikkeld. Iedereen zegt altijd dat je naar de CVSS-score moet kijken. Persoonlijk ben ik daar niet zo'n fan van. De CVSS-score zegt natuurlijk wat. Het is een belangrijke indicator, maar het zegt helaas niet genoeg. Het houdt vaak geen rekening met waar in jouw netwerk deze server of deze applicatie met een kwetsbaarheid draait. Het houdt geen rekening met of dit veel wordt gebruikt binnen Nederland of je branche. Het houdt geen rekening met of er een exploit of een proof of concept beschikbaar is. Zo zijn er legio indicatoren.

Jeroen Prinse: Zij hebben een algoritme daarvoor ontwikkeld dat wél rekening daarmee houdt op basis van alle informatie die zij hebben. Zo kunnen zij richting onze adviseurs volgende zaken duidelijk maken. Dit is daadwerkelijk prioriteit. Het heeft een hoge CVSS-score. Er is een proof of concept uit. Er wordt daadwerkelijk ook actief misbruik van gemaakt. Het product wordt veel gebruikt in Nederland. Je kunt je voorstellen hoe dat een rol kan spelen. Dat schaalt ook bij op basis van nieuwe indicatoren of aanwijzingen dat iets daadwerkelijk dringend is. Het speelt vooral een rol in advisering rondom de prioriteit, wat je moet doen.

Rob van der Veer: Die LLM's - die generatieve AI, de ChatGPT's van deze wereld - zijn heel goed in het verzamelen van een heleboel gegevens, ze netjes structureren en met een goed ronkend verhaal voor een bepaald publiek geschikt maken. Dat is wat jullie gedaan hebben. Ik denk veel use cases daarvoor binnen security. Een andere use case die wij zien, is het gebruiken van AI in een klassieke toepassing binnen security, namelijk herkennen van verdacht gedrag. Daarvoor wordt AI al heel lang ingezet. Patroonherkenning, in firewalls, endpoint security bij het SOC. Als je kijkt naar de hele moderne tools voor bijvoorbeeld het detecteren van prompt-injectie, zo'n typische inputaanval voor LLM's, zijn die ook allemaal op AI gebaseerd, niet allemaal LLM-gebaseerd.

Rob van der Veer: Ze kijken naar patronen van gedrag en syntaxis in die tekst om verdachte dingen daaruit te halen. Als je het hebt over code, kun je AI ook inzetten voor het vinden van kwetsbaarheden in code en om codesuggesties te doen. Dat doen we ook bij SIG. We hebben zo'n platform dat softwarekwaliteit meet en jou adviezen geeft hoe je je code veiliger kunt maken.

Jeroen Prinse: Het zijn superherkenbare use cases waarop AI wordt toegepast, denk ik. Ook aan de verdedigende kant, waar wij als vakgenoten allemaal inzitten, moet je dit soort AI toepassen binnen je security programma. Er zijn vendoren die AI opnemen in hun security producten. Je kan heel veel informatie snel verwerken, verbanden leggen, duidelijker uitleggen. Ik denk dat dat een trend is die ik zeker herken. Ik ben benieuwd naar wat je net zei. In onze eerste podcast, nu twee jaar geleden, hadden we het erover dat AI nog niet zo heel goed was in source code reviews en dan met name in het vinden van security kwetsbaarheden. Je gaf toen volgens mij ook aan dat je wél zag dat dat ging ontstaan. Ik ben even benieuwd wat er voor jou in die tijd veranderd is in met name die toepassing.

Rob van der Veer: Het geldt nog steeds. Er zitten behoorlijk fundamentele beperkingen aan, maar je komt wél een stuk verder. Je ziet dat de kwaliteit ervan asymptotisch is. Op een gegeven moment kom je tegen een plafond. Je moet het zo zien. Als ik een goed antwoord wil van ChatGPT en ik geef het antwoord van ChatGPT aan Gemini met de vraag om het te corrigeren, krijg je niet automatisch de waarheid. Het resultaat is niet automatisch betrouwbaar als je de ene AI de andere AI laat controleren. Dat geldt met name met security, want security is niet een eenvoudig dingetje dat je inbouwt, waarvoor je moet checken of het er is. Dat weten we allemaal. Kwetsbaarheden zitten vooral in hele ingewikkelde samenlopen van omstandigheden.

Rob van der Veer: Om die te spotten, moet je kennis, kunde en inzicht in alle contexten beheersen en continu afwegingen maken tussen securitymaatregelen en de bijbehorende nadelen. Code review is daardoor een van de meest lastige taken en dus ook voor AI pittig, maar inmiddels zijn we alweer een paar stappen verder. Het laat zich goed inzetten.

Jeroen Prinse: Ik denk dat ik wel zie dat AI steeds beter erin wordt. Ze worden ook getraind om het te vinden, denk ik. Ik denk dat dat de rode draad is, als ik het goed begrijp, Rob.

Rob van der Veer: In revies, inzetten in verdediging, wordt AI langzamerhand beter. Daarnaast kun je AI inzetten net zoals in veel andere vakgebieden, zoals bijvoorbeeld in consultancy. Wat we bij SIG doen, is alles wat we ooit geschreven hebben voor consultants in een grote database stoppen. Met AI kunnen we dat ontsluiten. Dat kun je ook voor security doen. Je kunt je security policies allemaal op die manier ontsluiten en beschikbaar maken voor mensen. Je ziet het ook in SOC-toepassingen voor incident response, waarbij je gaat kijken naar incidenten uit het verleden. Ook response instructies en playbooks kunnen heel snel verzameld worden door een AI en relevant voor de situatie worden voorgeschoteld als een soort instructie en begeleiding.

Rob van der Veer: Ik heb zelf een keer zo'n systeem gebouwd als onderdeel van OpenCRE. Ik weet niet of mensen opencre.org kennen. Daar staat een chatbot. Die kun je een vraag stellen over security. Dan kijkt hij in alle belangrijke security standaarden hoe hij die vraag het beste kan beantwoorden. Je hebt me iets verteld over wat je bij SBB hebt gedaan op het vlak van kennisontsluiting.

Jeroen Prinse: Het heeft niet zoveel te maken met security. Het is vooral een toepassing in hun primaire processen. SBB is de organisatie achter erkende leer- en stagebedrijven. Zij hebben een buitendienst. Zij gaan bij bedrijven langs om bijvoorbeeld bedrijven te certificeren. Ben je geschikt om een erkend leer- en stagebedrijf te zijn? Hun buitendienst heeft informatie nodig over dat bedrijf, over de branche, eventueel over concurrenten binnen die branche et cetera. Ze hebben vaak ook best wat papierwerk in te vullen na zo'n bedrijfsbezoek. Zij hebben AI in hun proces opgenomen om dat te versnellen. Om ervoor te zorgen dat zo'n verslag uniform is en aangevuld wordt, er geen belangrijke vragen worden vergeten.

Jeroen Prinse: Ook vooraf informatie bieden over het bedrijf, over de branche, zodat je gericht vragen kan stellen, zodat je misschien niet een expert hoeft te zijn in de transport- en logistieke branche of in de metaalsector. Dat je als iemand die voornamelijk naar bedrijven gaat in de onderwijssector of in de zorgsector ook naar dat soort bedrijven kan, omdat je een dashboard hebt met al dat soort informatie. Dat is superkrachtig. Het is een soort van verlenging van business intelligence of van Power BI of hoe je het ook wil noemen om gericht inzicht te geven in wat je gaat doen. Ik begrijp dat dat naar volledige tevredenheid is. Het betekent iets voor jouw security afdeling als je naar dit soort initiatieven of use cases gaat kijken.

Rob van der Veer: Als we het samenvatten, is AI toepassen binnen security aan de ene kant ogen openhouden voor interessante proposities van je leveranciers, van je tools en services, waarbij ze AI gebruiken voor die services en tools. Daarnaast is het intern kijken naar je eigen use cases. Waar ontsluit je een hele grote bak kennis die voor mensen niet paraat kan zijn voor hele specifieke situaties? Jij noemt voor de SBB of zoals in SOC's of voor SIG-consultants. Ik denk dat dat de takeaways zijn voor AI toepassen binnen security. Dat brengt ons op mijn favoriete onderwerp, namelijk programmeren met AI. Vibe coding wordt het ook wel eens genoemd. Vibe coding is de meest extreme vorm, waarin je alleen nog maar prompts aan het typen bent en niet meer naar de code kijkt. Er komt wel code uit, maar daar maak je je geen zorgen over.

Rob van der Veer: De huidige consensus is dat die vorm van programmeren puur geschikt is voor prototypes. Iedereen die niet snel kan programmeren, kan snel iets maken. Op het moment dat je code moet gaan onderhouden en wijzigingen moet gaan doen en geen security kwetsbaarheden wil, is dat niet de manier. AI gebruiken bij softwareontwikkeling is iets wat ik zeker aanraad. Ik ben benieuwd, Jeroen. De laatste keer dat we elkaar uitvoerig spraken hierover is twee jaar geleden. Wat ben je in de tussentijd tegengekomen op dit vlak?

Jeroen Prinse: Het heeft mijzelf een betere ontwikkelaar gemaakt. Ik kan heus wel een beetje programmeren, maar ik moet toch eerlijk bekennen dat ik ook gebruik ervan maak. Dat is dan meer voor privédoeleinden. In mijn werk heb ik vooral kleinschalige pilots gezien, waarbij ontwikkelaars ook zelf hierom vragen. Ik denk dat dat juist de belangrijke trend is om te zien. Een ontwikkelaar beseft ook dat hij zijn werk misschien niet beter, maar wél efficiënter, sneller kan uitvoeren met behulp van AI. Dat signaal moet je als organisatie oppikken, denk ik. Of jij nu een toegestane AI-ontsluiting hebt of niet, ze gaan het gebruiken in hun werk, op privéapparaten, op noem het maar op waar jij geen zicht op hebt. Ze gaan het gebruiken om te debuggen. Niets is irritanter dan kijken naar 10.000 regels code die niet werken.

Jeroen Prinse: Je vraagt je af waaraan het ligt en je kan het maar niet vinden. Ze gaan het gebruiken. Dat moet je beseffen, denk ik. Shadow coding is wat mij betreft het nieuwe shadow IT, als je het zo wil noemen. Ik heb het vooral in hele specifieke use cases gezien binnen organisaties, waarbij developers het wilden gebruiken voor het genereren van boilerplate code. Een standaardcode, een raamwerk dat je altijd gebruikt voor error handling of dat soort dingen.

Rob van der Veer: Ik zie bij onze klanten ook echt successen. Het is nog niet vijf keer zo productief, want code schrijven is ook maar een klein onderdeel van het ontwikkelwerk. We doen onderzoek hiernaar en zien een aantal issues. In de code die AI genereert, zitten ten eerste issues qua onderhoudbaarheid, betrouwbaarheid en security. Die krijg je er met tools niet allemaal uit. Dan moet je reviewen. De dynamiek die ontstaat, is dat er heel veel code geproduceerd wordt, meer dan voorheen. De meest ervaren mensen wil je die review laten doen. Zij krijgen ongelooflijk veel reviewwerk op hun bord. Ontwikkelaars vinden reviewwerk niet leuk. Reviewwerk is ook moeilijk te meten of het daadwerkelijk is gebeurd. Discipline voor review is de sleutel om die effectieve hoge snelheidswinst die je kunt behalen ook echt te behalen.

Rob van der Veer: Als je het niet doet, krijg je later te maken met incidenten en heel veel rework. Dan kost het je uiteindelijk nog meer tijd. Zelf vind ik de junior engineers een ingewikkeld stuk dynamiek. Daarvan denkt men dat we ze niet meer zo nodig hebben, want we hebben nu AI. Ze worden minder aangenomen, waardoor er minder aanwas is. Dan kun je je afvragen hoe het zit. Zijn de huidige senior engineers dan de laatste van hun soort? Ik vind dat een zorgwekkende ontwikkeling. Er is ook geen goed antwoord op. Je kunt het een heleboel mensen vragen, maar het beste antwoord is dat we het niet weten. Dat is in ieder geval waar organisaties zich druk over moeten maken. Je moet zorgen dat je ook een aantal mensen hebt die je kunt blijven opleiden.

Jeroen Prinse: Ik denk dat hun werk heel erg veranderd gaat worden in de komende periode. Het is net wat jij zegt. Als AI de kwaliteit heeft van een junior programmeur of een junior developer, heb je alleen nog maar mensen nodig die het kunnen reviewen. Dan hoef je zelf ook vrij weinig code te schrijven. Dat denk ik, maar ik ben geen ontwikkelaar.

Rob van der Veer: Het klopt wat je zegt, maar ik vind er wel wat van, want om code te kunnen reviewen, moet je code kunnen schrijven. Dat is geen paradox. Dit is echt een tegenstelling. Ons advies is altijd om ervoor te zorgen dat je een manier van werken hebt waarin je ontwikkelaars actief betrokken blijven bij het aanpassen en het schrijven van code. Dit is vergelijkbaar met chauffeurs in een zelfrijdende auto actief betrokken houden bij die auto. Ze blijven hun skill ontwikkelen, omdat ze continu aan het rijden zijn. Ze verslappen ook niet in het controleren van dingen. Als je in een auto rijdt die maar eens per dag een fout maakt, ga je die fout niet merken. Je verslapt. Daarom is het terugdringen van wat AI kan in softwareontwikkeling op dit moment de best practice. Het is tegenintuïtief, maar zo krijg je de beste wisselwerking tussen mens en AI-programmeur.

Rob van der Veer: In de voorbeelden die je noemt, heb je het over shadow. Het risico dat daarbij om de hoek komt kijken, is onvoldoende begeleiding. In jouw situaties, waarin software een landsgeheim is, wil je vooral ook niet dat het in cloud AI terechtkomt. Een belangrijke vraag is waar die code heen gaat. In het algemeen zitten veel CISO's met die vraag. Als iemand iets invult in een prompt of een stuk code stuurt naar een AI, waar gaat het dan heen? Hoe zijn jullie omgegaan met die vraag?

Jeroen Prinse: Ik denk dat het begint met de inrichting van een stukje AI governance binnen je bedrijf, waarbij je multidisciplinair AI use cases gaat beoordelen. Stel dat er persoonsdata in zouden verwerkt worden. Dat is bij mijn klanten voor zover ik weet niet het geval, maar dan zou je dat ook vanuit een privacyaspect moeten afwegen. Vanuit een juridisch aspect moet je bijvoorbeeld kijken naar de AI, maar ook vanuit security heb je een aantal aspecten af te dichten. Grofweg kun je vanuit security zeggen dat je niet wil dat mensen een AI-oplossing gebruiken waar jij niet naar gekeken hebt. Je wil een dienst aanbieden binnen je organisatie, waar ze binnen de kaders die jij hebt gesteld, ervan kunnen gaan gebruikmaken. Dat betekent vaak, in ieder geval bij een van mijn klanten, dat er dan gekeken wordt naar een on-premiseoplossing of een private endpoint en niet zozeer naar een publieke SaaS.

Jeroen Prinse: Er moeten duidelijke spelregels gegeven worden aan deze ontwikkelaars. Verwerk bijvoorbeeld geen secrets. Gebruik het alleen voor wat we net benoemden, boilerplate code, of een eerste aanzet, zoals jij ook al benoemde, Rob. Gebruik het zeker niet voor de logica van je kernprocessen of algoritmes die van jou moeten blijven, die je niet met anderen wil delen. Gebruik het ook niet voor performance-kritische onderdelen. Dat zou een soort van gouden spelregel moeten zijn voor het gebruik ervan, maar heel eerlijk moet ik ook bekennen dat ik daarmee worstel. Het zijn vaak spelregels. Het is niet iets wat je technisch kan afdwingen. Als een ontwikkelaar toch besluit om een uniek algoritme om te debuggen of een secret erin te gooien, is het hek van de dam. Ik hoop dat jij daar wat meer inzicht in hebt, maar ik denk dat we allemaal hiermee worstelen. Ik zie geen mogelijkheid om dat technisch te limiteren.

Rob van der Veer: Het moet een combinatie van dingen zijn. Binnen SIG ben ik ook verantwoordelijk voor de naleving en de manier waarop we collega's faciliteren met AI. Je geeft het al aan. Shadow IT, shadow AI wil je voorkomen. Dat betekent dat je intern moet concurreren met die alternatieven. Je moet zorgen dat de mensen iets kunnen met AI in plaats van het ze te onthouden. Anders nodig je shadow AI uit. Ik zeg niet dat shadow AI goed is. Ik zeg alleen dat je dat sneller krijgt op het moment dat je niet je best doet om vergelijkbare kwaliteit te bieden met iets dat wél goed afgeschermd is. Kwaliteit van je interne dienstverlening is één. Ten tweede maak je een aantal voorzieningen. In die voorzieningen wil je technisch zoveel mogelijk van de regels afkappen. Dat is precies wat jij zegt.

Rob van der Veer: Dat doe je om ervoor te zorgen dat je mensen geen 30 regels hoeft te geven waaraan ze zich moeten houden. Je geeft hen slechts vier principes, want dat werkt veel beter. Voor de rest wordt gezorgd binnen die guardrails. Jullie hebben dat gedaan met een on-premoplossing. Als je zorgt dat die on-premoplossing voldoende kwaliteit biedt, heb je al behoorlijk afgedicht, want dan moeten mensen echt actief een andere tool gaan gebruiken. Dan wordt het duidelijk voor henzelf dat ze buiten de afgesproken paden treden. Daar komt iets heel belangrijks. Mijn ervaring is dat het goed is om te onderstrepen wat het belang daarvan is. Je mag mensen geen awarenesstraining geven op het vlak van AI en zeggen dat ze dit en dat niet mogen doen. Wij hebben gezegd dat dit direct raakt aan hun integriteit.

Rob van der Veer: Je hebt een code of conduct getekend toen je bij SIG kwam werken. Je hebt hier voor integriteit getekend. Als jij je niet houdt aan deze regels, beschouwen wij dat als het verbreken van die integriteit. Zo belangrijk vinden we die aspecten. Zo belangrijk vinden we het dat onze code en onze persoonsgegevens et cetera niet op straat komen te liggen. Bijvoorbeeld het niet gebruiken van AI op beslissingsniveau in HR-trajecten is een keiharde afspraak en niet even een best practice. Het onderstrepen van het belang, het zoveel mogelijk technisch afdwingen en het bieden van kwaliteit. Ik denk dat dat de gelaagde oplossing is die dan, fingers crossed, de problemen een beetje moet temmen. Hoe klinkt dat?

Jeroen Prinse: Het klinkt als een compleet model. Het klinkt volledig. Ik ben CISO. Als ik mezelf de vraag stel wat ik morgen anders ga doen, een vraag die wij onszelf in de podcast veel stellen, worstel ik nog met het technisch afdwingen daarvan. Met name op private endpoints of van SaaS-leveranciers, is het echt een issue om dat te voorkomen. Laatst las ik volgens mij een artikel waarbij heel veel persoonsdata door AI, door OpenAI in dit specifieke geval, waren verwerkt. Ik meen dat het bij een of andere gemeente of overheidsinstantie was. Ik weet het niet meer precies. Je houdt het bijna niet tegen. Dat is bijna zo lastig, of je moet echt op de werkplek gaan zitten en het daar afvangen.

Rob van der Veer: Dat is ook een optie. Dat is filtering. Uiteindelijk krijg je toch olifantenpaadjes. We moeten het echt hebben van de combinatie van de drie eerder genoemde dingen, en die dan goed uitvoeren. Ook die literacy trainingen echt goed op maat maken. Dat is een belangrijke best practice. We zijn al op ons derde onderwerp, namelijk beveiliging van AI-systemen. Hoe maak je ze veilig? Een van de belangrijke vragen is waar die data naartoe gaan. We hebben daar eens naar gekeken. Mensen vragen zich af of die prompt die ze sturen gebruikt gaat worden om te trainen. Nee. Dat gebeurt niet, want dat valt veel te veel op. Daar moet de leverancier een actieve handeling voor doen. Als ze dat beloven, doen de gerenommeerde leveranciers van vandaag de dag dat niet.

Rob van der Veer: Wat ze wél doen, is dat jouw sensitieve gegevens in het geheugen van die AI-computers staan, want dat AI-model is getraind op echte tekst en niet op geëncrypte tekst. Je kunt het zoveel mogelijk dichttimmeren en dat hebben ze ook gedaan, maar in veel gevallen wordt er ook gelogd. Dan moet je als organisatie naar de kleine letters kijken. Welke licentie moet ik gebruiken en welke instellingen moet ik actief veranderen om ervoor te zorgen dat mijn gegevens niet meer gelogd en gemonitord worden? Dan tot slot een ander risico. Dat is dat die gegevens, als ze gelogd zijn, kunnen worden opgevraagd door een rechter in Nederland of het buitenland. Het is belangrijk om dat risico mee te nemen, want OpenAI heeft het wel eens gehad dat er prompts zijn opgevraagd.

Rob van der Veer: Dat is een manier waarop jouw gegevens, als je heel veel pech hebt, toch boven water kunnen komen. Dat zijn de verschillende manieren om te kijken naar het risico waar die prompt naartoe gaat. AI security is het onderwerp waar ik mij het meest op richt tegenwoordig. Ik vind het superbelangrijk. We verbinden AI met alles. We willen het al onze data geven, maar we kennen vaak niet de risico's en weten niet hoe we het moeten beveiligen. Wat kan er allemaal misgaan, behalve het lekken van die inputdata? Jeroen, ik weet dat jij bezig bent geweest met risicoanalyse van modellen. Je hebt het kort genoemd, maar kun je wat meer vertellen over hoe je dat hebt aangepakt?

Jeroen Prinse: Ik denk vooral dat degene baat heeft bij de use case. In de AI governance richten we een AI board of hoe je het ook wil noemen in, waarbij de aanvrager in ons specifieke geval een template moet invullen waarin vragen staan. Hoe heb je inputvalidatie geregeld? Hoe valideer je de output van zo'n model? Stel dat je een compleet eigen model hebt, hoe hou je grip op de functionaliteit die zo'n model heeft? Welke limitaties heb je meegegeven? Stel dat zo'n model een mail stuurt naar de buitenwereld, kan het dan met de hele wereld mailen of alleen maar met jouw klanten of een bepaalde whitelist? Heeft het andere limitaties, zoals limitaties in het gebruik van processor, geheugen, het internet?

Jeroen Prinse: Mag zo'n model overal op het internet naartoe of alleen maar naar een specifieke dataset of website toe? Dit soort vragen zul je moeten uitwerken, denk ik. Ook ethiekvragen vind ik superbelangrijk. Het is niet mijn rol, denk/vind ik, omdat dat vaak geborgd wordt door andere functionarissen binnen organisaties. Ethiekvragen zijn bijvoorbeeld of dit model een enorme impact op mensenlevens heeft. Gaat dit model besluiten nemen of jij wél of niet hypotheekrenteaftrek krijgt of dat je kinderen wél of niet naar school mogen? Ik denk dat dit soort ethiekvragen superbelangrijk zijn om hierin op te nemen.

Rob van der Veer: Het is interessant wat je zegt. Je zegt: in op te nemen. Ik denk inderdaad dat er heel veel momenten zijn waarop je naar meer zaken kijkt dan alleen maar security. Je hoeft je dan niet druk te maken over hoe je die vraag stelt en beantwoord krijgt. Maar wél hoe je kunt samenwerken met je privacy officers en mensen die met die zaken bezig zijn, om ervoor te zorgen dat de beste teams niet tien keer een andere vragenlijst hoeven in te vullen.

Jeroen Prinse: Zeker. Ik vind dat je je AI governance multidisciplinair moet inrichten. Ik heb het volgens mij tijdens deze webinar al meerdere keren gezegd. AI security en gegevensverwerking is vaak niet een solo CISO-vraagstuk, of je moet in een hele kleine organisatie werken waar je een dubbele pet op hebt. Ik denk dat je soms ook je privacy officer of je functionaris gegevensbescherming erbij moet betrekken. Je zult ook een IT-architectuur erbij moeten betrekken. Je zult moeten kijken naar de ethische en de juridische kant. Het is een multidisciplinaire aangelegenheid. Dat zul je moeten gaan faciliteren voor je organisatie.

Rob van der Veer: Als je puur kijkt naar het beveiligen van AI-systemen, kunnen we kijken naar de standaarden die hiervoor in de maak zijn. Ik ben zelf bij die standaarden betrokken. ISO 27090 komt tweede helft dit jaar uit. De prEN 18282 is de security standaard voor de AI Act. Die komt iets daarna uit, maar ook dit jaar. De rol die ik daarin speel, is dat ik in die commissies zit. Ik ben co-editor en ik heb een internationaal team samengesteld om met behulp van open source bij te dragen aan deze standaarden. Die heb ik verenigd in een initiatief. Dat heet AI Exchange. Ik noem het, omdat ik er stiekem heel trots op ben, maar ook omdat dit een gigantisch handige bron is voor jullie. Het werk dat we gedaan hebben, is namelijk het raamwerk dat uiteindelijk in die ISO en in die AI standaard is terechtgekomen.

Rob van der Veer: Het zijn 300 pagina's aan materiaal, van duidelijke AI-overzichten tot en met diepe implementatiedetails over hoe je AI-systemen beveiligt. Met de OWASP AI Exchange - owaspai.org - kun je een dreigingsanalyse doen. Daar kun je zien hoe je promptinjectiebeveiliging inbouwt. Daar kun je begrijpen wat al die dreigingen zijn. Als je gaat kijken naar de soorten dreigingen in een notendop, heb je aan de ene kant conventionele security. Het stelen van je model en trainingsdata, het lekken van je inputdata, waar we het al over hadden, zijn conventionele dreigingen en gewone security. Maar wél op de AI assets zoals de input- en trainingsdata. Het is een kwestie van die in kaart brengen als onderdeel van je normale security. Dan komt dat goed.

Rob van der Veer: Je moet wél weten wat de consequenties zijn, want als iemand training data aanpast, verandert het gedrag van je model of is dat risico heel groot. Je moet dat meenemen in je conventionele security. Dat is één. Een andere is supplychain. Behalve softwarecomponenten heb je ook modellen, training data en hosting. Dat zijn drie nieuwe leveranciers. Als je ze niet meeneemt in je supplychainmanagement, kan je in één keer een compleet corrupt model krijgen. Daar ook het uitbreiden van bestaande managementsystemen met wat AI-specifiek is. Als derde en laatste in het raamwerk heb je inputaanvallen, zoals prompt injection en deviation. Dat zijn aanvallen die plaatsvinden door simpelweg het systeem te gebruiken, input te geven, het te misleiden, gegevens eruit te extraheren.

Rob van der Veer: Daar is meer voor nodig dan conventionele security. Filtering, detectie, speciale monitoring, speciale manieren van trainen, het toevoegen van ruis bijvoorbeeld, al dat soort zaken. Dat is heel erg op het vlak van AI engineers en niet op het vlak van de typische security professional. Al die dingen zijn deels effectief. AI-modellen maken fouten en zijn redelijk eenvoudig te manipuleren. Al die controls zijn slechts deels effectief. Dit is the perfect storm waar wij als security mensen mee te maken hebben met AI. Daarom is het belangrijk dat we beperken wat er kan misgaan. Jeroen noemde het al. Zero model trust is vooral belangrijk voor agentic AI, de term die jullie al kennen, denk ik. Dat is heel belangrijk aan het worden. Dat is AI die dingen kan doen in plaats van alleen praten en die ook autonoom is. Ik heb begrepen dat jij ook een kijk daarop hebt en ervaring daarmee hebt, Jeroen.

Jeroen Prinse: Ja. Ik wil nogmaals de Open AI Exchange noemen. Ik besef heel goed dat het heel veel informatie is, maar wat er staat, kun je echt gebruiken voor toepassingen binnen je organisatie. Ik vind dat echt een top resource op het gebied van AI, nog meer dan een eventuele standaard, als ik heel eerlijk ben. Agentic AI gaat een enorme impact hebben op elke organisatie. Kijk bijvoorbeeld alleen al naar OpenClaw, de autonome AI agent waar een groot deel van Nederland bij een uitzending van Eva mee kennismaakte, denk ik. Die belde restaurants, maakte boekingen, creëerde de code om te bellen helemaal zelf, dat soort dingen. Dit betekent echt ook iets voor de interne beheersing van je organisatie. Een traditionele beheersmaatregel zoals bijvoorbeeld changemanagement werkt niet meer, voor zover dat nog werkte in een agile organisatie.

Jeroen Prinse: Je moet duidelijk grenzen gaan stellen aan wat een AI autonoom mag doen, denk ik. Wanneer heb je een human-in-the-loop? Wanneer moet een mens meebeslissen? Wat mij betreft, is het geen toolingsprobleem, maar een governanceprobleem. Rob, hoe kijk jij hiertegenaan?

Rob van der Veer: Mensen meebeslissen, een governanceprobleem. Het indammen van wat AI mag en kan, is je belangrijkste tegenmaatregel. Tegelijkertijd is een AI die niets kan de meest veilige AI, maar daar hebben we niets aan. We kunnen ontzettend veel met agentic AI. De kunst is om wat die agentic AI kan zo slim mogelijk in te perken op basis van context. Wie is de gebruiker? Naar wie gaan de data toe? Zijn er misschien data in de flow gekomen die niet te vertrouwen zijn? Is het een gedelegeerde opdracht van de ene agent naar de andere, die minder dingen moet kunnen? Dan is het ook belangrijk om die agent te hardenen. Er zijn steeds meer raamwerken en technieken om dat voor elkaar te krijgen. Hier zie je ook weer die gelaagde toepassing, die blast radius control, het beperken van wat AI kan verpesten, kapotmaken en de Murphy approach, die zero modal trust.

Rob van der Veer: Dat is een hele belangrijke. Wat mij betreft, even heel snel de takeaway en dan laat ik jou nog even het woord, Jeroen. Ga lekker aan de slag met AI. Doe het stap voor stap. Leer van elkaar, niet alleen maar in de organisatie, maar ook met andere organisaties. Weet dat modellen het fout kunnen hebben en daarnaast ook gemanipuleerd kunnen worden. Hou daar rekening mee. Die zero model trust is belangrijk en hou een oogje op de owaspai.org resource. Het is op dit moment de beste representatie van de standaard op AI security. En jij, Jeroen?

Jeroen Prinse: Eens. We hadden het al even over standaarden. Standaarden geven een gemeenschappelijke taal voor ons vakgenoten. Maar zijn vooral een leidraad voor welke maatregelen je moet overwegen als organisatie op de mens, het proces en de technologie. Mijns inziens brengt de drang om te voldoen aan die standaarden vaak één groot probleem met zich mee. We focussen ons te veel op compliancy op een standaard. Dat is geen security. Compliancy is geen security en security is geen compliancy. Ik zeg altijd: compliancy is the perfect level of security when you're only threat is the auditor. Ik zou vooral iedereen willen adviseren om vanuit risico's en weerbaarheid te blijven kijken. Wat moet er echt gemitigeerd worden? Gebruik AI bewust.

Jeroen Prinse: Hanteer een zero model trust-principe. Die vind ik heel mooi, Rob, als een soort van kernboodschap. Minimaliseer data, rechten en de autonomie van het model. Laat standaarden je vooral helpen. Stuur op risico's en richt een AI governance in, want dat is leiderschap. Tooling doet dat niet. Dat waren mijn key takeaways.

Walter van Wijk: Voor nu heel hartelijk dank voor jullie bijdrage, Rob en Jeroen, want het heeft velen de ogen een stukje verder geopend. Bij mij in ieder geval wél en ik hoop bij veel deelnemers ook.

Walter van Wijk: Je luisterde naar een podcast van het CIP. Wij ontwikkelen en delen kennis op het gebied van informatieveiligheid. Meer daarover kun je vinden op onze website cip-overheid.nl. Tot de volgende keer.