Door Johnny Sheehan, AI Practice Lead bij CWSI
AI helpt organisaties sneller te werken. Dat staat buiten kijf.
Het kan informatie samenvatten, teksten opstellen, analyses uitvoeren, aanbevelingen formuleren en processen automatiseren. Daarmee ondersteunt AI vandaag al beveiligingsteams, ontwikkelaars, analisten, architecten, compliancespecialisten, operationele teams en managers.
Goed ingezet is AI dan ook bijzonder waardevol.
Maar gaandeweg wordt ook duidelijk dat die snelheid een prijs heeft en die prijs is niet altijd meteen zichtbaar. Wanneer AI in enkele seconden een antwoord genereert, slaan we soms stappen over die vroeger essentieel waren om kennis op te bouwen, fouten te ontdekken en tot een goed oordeel te komen.
Want in bijna elk domein van kenniswerk, specialistisch werk en technical delivery verandert AI niet alleen wat we produceren. Het verandert ook hoe we leren, controleren en verantwoordelijkheid nemen voor ons werk.
Toen frictie nog een functie had
Vóór AI was output zelden onmiddellijk. Je zocht informatie op, verdiepte je in de materie, bouwde iets, testte het, liep tegen problemen aan, loste ze op en leerde van het proces.
Het was niet altijd prettig. Velen van ons hebben uren doorgebracht in documentatie, demo-omgevingen, rapporten en systemen, op zoek naar antwoorden of oplossingen. Maar die frictie was meer dan een hinderpaal.
Frictie gaf context. Ze dwong ons om aandachtig te blijven en even te vertragen. En dat moment van aarzeling is niet noodzakelijk een rem op vooruitgang. Soms is het net die korte pauze die voorkomt dat een verkeerde aanname uitgroeit tot een overtuigde fout.
Aan het begin van mijn carrière werkte ik veel met Purview. Ik hielp klanten om inzicht te krijgen in welke gevoelige informatie ze hadden, waar die stond en welke content eigenlijk niet meer werd gebruikt. Dat was geen proces van enkele minuten. Ik testte, maakte fouten, liep vast, begon opnieuw en twijfelde geregeld aan mijn eigen conclusies. Soms vroeg ik mijn manager om mee aan tafel te zitten omdat ik niet volledig zeker was van mijn analyse. Achteraf bekeken was precies die onzekerheid waardevol. Ze dwong me om dieper te graven, beter te begrijpen wat ik deed en kritischer naar mijn eigen werk te kijken. Dat was frustrerend, maar juist daardoor bouwde ik een diep begrip op van wat ik deed.
Toen het moment kwam om mijn werk toe te lichten, kon ik niet alleen het resultaat presenteren, maar ook de redenering erachter, de gemaakte afwegingen en de risico’s die ik onderweg had geïdentificeerd.
Het proces maakte het denkwerk zichtbaar. En dat is cruciaal in cyberbeveiliging, maar evengoed in tal van andere domeinen.
Wanneer een engineer code beoordeelt. Wanneer een consultant een aanbeveling formuleert. Wanneer een complianceteam regelgeving interpreteert. Wanneer een analist een rapport opstelt of een leidinggevende een belangrijke beslissing neemt. Wanneer je verantwoordelijkheid draagt voor een resultaat, moet je de redenering erachter kunnen begrijpen, uitleggen en verdedigen.
Wat we winnen en wat we dreigen te verliezen
AI verandert niet alleen wat we doen, maar ook hoe we werken. Waar we vroeger moesten zoeken, proberen, controleren en bijsturen, krijgen we vandaag vaak met één prompt een bruikbaar resultaat.
Steeds vaker krijgen we een antwoord voordat we volledig begrijpen hoe dat antwoord tot stand is gekomen. Dat is niet alleen een uitdaging voor eindgebruikers, maar voor iedereen wiens werk steunt op expertise, interpretatie, technisch inzicht en professioneel oordeel.
Een beveiligingsanalist kan een query gebruiken zonder volledig te begrijpen hoe die werkt. Een ontwikkelaar kan code genereren zonder elk onderdeel grondig te testen. Een consultant kan een aanbeveling overnemen zonder de onderliggende redenering kritisch te toetsen.
Het probleem is niet dat AI fouten maakt. Het probleem is dat snelheid ons soms doet geloven dat we vooruitgang boeken, terwijl ons begrip van de materie niet altijd even snel meegroeit. Dat risico wordt nog groter omdat AI-antwoorden doorgaans helder geformuleerd, goed gestructureerd en zelfverzekerd gepresenteerd worden. Daardoor voelt de output vaak betrouwbaarder aan dan ze werkelijk is.
En precies daar ontstaat het probleem: we nemen beslissingen op basis van informatie die we niet volledig begrijpen of kritisch hebben beoordeeld.
Het vraagstuk van eigenaarschap
Uiteindelijk brengt AI ons steeds terug bij dezelfde vraag: wie draagt de verantwoordelijkheid voor het werk?
In een traditionele werkomgeving is dat meestal duidelijk. Wie een rapport schrijft, een architectuur ontwerpt, een configuratie wijzigt, een beleidsdocument opstelt of een aanbeveling formuleert, wordt ook geacht de inhoud ervan te begrijpen en te kunnen verdedigen.
Maar wat gebeurt er wanneer AI een groot deel van dat werk voor zijn rekening neemt?
Wanneer een rapport grotendeels door AI is opgesteld, een analyse door AI is uitgevoerd of een aanbeveling door AI is gegenereerd, verschuift de rol van de mens vaak van maker naar beoordelaar.
Al zouden voor AI niet ineens andere regels moeten gelden. AI-diensten vragen om dezelfde basis als andere bedrijfskritische systemen: goede toegangscontroles, grip op data en continu inzicht in wat er gebeurt. En als agents zelfstandig systemen benaderen of acties uitvoeren, moet ook duidelijk zijn wie of wat ze zijn en welke rechten ze precies hebben.
De adempauze heeft nog steeds een functie
Ik noem dit de adempauze.
Het moment waarop je vroeger vastliep en gedwongen werd om een stap terug te zetten. Je dook opnieuw in de documentatie. Je vroeg een collega om mee te kijken. Je testte nog een keer, controleerde de logs en ging stap voor stap terug naar de bron van het probleem. Je nam de lange route, simpelweg omdat de korte route niet bestond.
Niemand hield van die adempauze. Maar ze deed wel iets belangrijks.
Ze bouwde inzicht op. Niet alleen in het antwoord, maar ook in het denkwerk erachter. Je leerde begrijpen hoe iets werkte, waar de risico’s lagen en wanneer een resultaat vertrouwen verdiende of juist om extra aandacht vroeg.
Dat is wat we dreigen te verliezen wanneer AI steeds meer frictie uit ons werk wegneemt, zonder daar iets van gelijke waarde voor in de plaats te zetten.
De oplossing is niet om alles opnieuw trager te maken. Dat zou een vreemde manier zijn om vooruitgang te omarmen. Waar het wel om gaat, is herkennen waar frictie nog waarde toevoegt. We moeten voldoende adempauzes behouden om zelf expertise op te bouwen, in plaats van ons begrip steeds verder uit te besteden aan systemen die sneller antwoorden geven dan wij kunnen leren.
Welke vragen organisaties zich eerst moeten stellen
De belangrijkste vraag is niet: “Hoe snel kunnen we dit uitrollen?”
Een betere vraag is: “Wat moet eerst op orde zijn om AI verantwoord in te kunnen zetten?”
Dat is geen vraag voor IT alleen. Het is een vraag voor de hele organisatie.
- Waar wordt AI vandaag al gebruikt?
- Welke beslissingen en resultaten zijn afhankelijk van AI?
- Tot welke data en systemen heeft AI toegang?
- Welke processen vereisen nog steeds menselijke beoordeling en verantwoordelijkheid?
- Waar kan snelheid leiden tot nieuwe of verborgen risico’s?
- Helpt AI je medewerkers om expertise op te bouwen, of maakt AI hen afhankelijk van antwoorden die ze niet volledig begrijpen?
- Kunnen specialisten uitleggen waarom ze iets hebben goedgekeurd?
- Is het duidelijk wie verantwoordelijkheid draagt voor een beslissing of resultaat?
- Worden AI-tools, agents en automatiseringen beheerd met dezelfde discipline als andere bedrijfskritische systemen?
- Wat moet er op orde zijn voordat AI veilig kan worden ingezet?
Dit zijn geen theoretische governancevragen. Het zijn praktische vragen over vertrouwen, eigenaarschap, controle en veerkracht. Juist die vragen vormen als het ware de basis voor een veilige inzet van AI.
Heb je onvoldoende zicht op data, toegangsrechten, identiteiten of processen, dan kan AI bestaande zwakke plekken snel blootleggen én versterken.
Veilige AI begint bij de basis
De uitdaging van veilige AI-adoptie ligt niet in de technologie zelf, maar in het vermogen van organisaties om AI in te zetten zonder het vertrouwen, de controle en verantwoordelijkheid te verliezen.
Bij CWSI helpen we organisaties die stap te zetten. Niet door AI af te remmen, maar door ervoor te zorgen dat de juiste fundamenten aanwezig zijn om AI op grotere schaal in te zetten.
Via onze Secure AI Practice ondersteunen we organisaties bij AI Readiness, AI Security & Governance, AI Adoption en Managed AI Security met AIGuard. Daarbij helpen we hen inzicht te krijgen in waar AI vandaag al wordt gebruikt, welke risico’s daarmee gepaard gaan en welke beheersmaatregelen nodig zijn om AI veilig en verantwoord in te zetten.
Governance is daarbij geen oefening in papierwerk, maar ook geen rem op innovatie. Het is wat ervoor zorgt dat organisaties kunnen versnellen zonder de controle te verliezen.
Uiteindelijk zullen de organisaties die het meest uit AI halen niet degenen zijn die het snelst bewegen, maar degenen die weten wanneer ze kunnen vertrouwen op AI en wanneer ze zelf kritisch moeten blijven denken.
Breng je AI-readiness in kaart
Wie AI met vertrouwen wil inzetten, moet eerst weten hoe het vandaag wordt gebruikt. Met onze AI Readiness Assessment brengen we in kaart waar AI actief is, welke data en systemen het kan benaderen en wat mogelijk risico’s of aandachtspunten zijn op het vlak van governance, en compliance. Meld je interesse aan via onderstaand formulier.
