AI levert pas waarde op als je het veilig inzet. We helpen MKB-bedrijven de risico's te beheersen — van datalekken via prompts tot prompt-injection — met een aanpak waarbij je data in Nederland en van jou blijft. AVG-proof, zonder vendor-lock-in.
De meeste AI-incidenten ontstaan niet door hackers, maar door alledaags gebruik. Deze vijf risico's komen we het vaakst tegen.
Medewerkers plakken klant- of bedrijfsdata in een publieke AI-chat. Die data kan bewaard of hergebruikt worden — buiten je controle.
Tools die zonder IT om gebruikt worden. Je weet niet welke data waar terechtkomt, en kunt het dus ook niet beveiligen.
Kwaadwillenden verstoppen instructies in documenten of websites die je AI verwerkt — en laten de AI dingen doen die jij niet wilt.
AI verzint met overtuiging onjuiste antwoorden. Zonder controle belandt foute informatie zo bij je klant of in een besluit.
Sommige aanbieders gebruiken jouw input om hun modellen te trainen. Lees de voorwaarden — of kies een setup waar dat niet kan.
Onder de AVG moet je weten welke persoonsgegevens je AI verwerkt en op welke grondslag. De EU AI Act voegt daar risico-classificatie en documentatieplichten aan toe. Voor de meeste MKB-toepassingen is dat goed te doen — mits je het bewust inricht en vastlegt.
Praktisch stappenplan
We schreven een concreet stappenplan voor de EU AI Act voor het MKB. Lees het stappenplan.
Veiligheid is geen los product, maar een manier van inrichten. Deze vier elementen vormen de basis.
Draai gevoelige toepassingen op een private LLM of op Nederlandse infrastructuur. Je data verlaat je omgeving niet.
AI krijgt alleen de rechten die het echt nodig heeft. Per rol, per bron, read-only waar dat kan.
Vastleggen wat de AI ziet en doet. Zo kun je controleren, auditen en bijsturen wanneer dat nodig is.
Data-loss-preventie voorkomt dat gevoelige informatie ongewenst in prompts of antwoorden lekt.
We beveiligen vanaf de eerste schets, niet achteraf. Elke AI-toepassing krijgt least-privilege toegang, logging en de juiste databasis. En we houden een AI-register bij: welke AI draait waar, met welk doel en welk risico. Zo houd je grip — en voldoe je aantoonbaar aan je verplichtingen.
Welke data, welke toepassingen, welke risico's.
Least-privilege, NL-data of private LLM, DLP.
Prompt-injection en data-exfiltratie afvangen.
Vastleggen, monitoren en periodiek herzien.
Datalekken via prompts en shadow-AI zijn het meest voorkomend: medewerkers plakken bedrijfsdata in publieke AI-tools zonder dat IT het weet. Daarnaast spelen prompt-injection, hallucinaties en vendors die je input gebruiken om hun modellen te trainen. De meeste risico's zijn te beheersen met goed beleid en de juiste technische inrichting.
Onder de AVG moet je weten welke persoonsgegevens je AI verwerkt en op welke grondslag. De EU AI Act voegt daar risico-classificatie en documentatieplichten aan toe. Voor de meeste MKB-toepassingen is het goed te doen, mits je het bewust inricht en vastlegt. We schreven er een praktisch stappenplan over.
Door bewust te kiezen: een private LLM of een setup op Nederlandse infrastructuur waarbij data je omgeving niet verlaat, en heldere afspraken met vendors dat jouw input niet voor training wordt gebruikt. Voor de meest gevoelige data adviseren we een private opzet zonder vendor-lock-in — code en data blijven van jou.
Bij prompt-injection verstopt iemand instructies in content die je AI verwerkt — een document, een e-mail, een webpagina. De AI volgt die verborgen instructies en doet dingen die jij niet bedoelde, zoals data prijsgeven of ongewenste acties uitvoeren. Daarom testen we AI-toepassingen hierop vóór ze live gaan.
Security-by-design: we beveiligen vanaf de eerste schets, niet achteraf. Dat betekent least-privilege toegang, data in Nederland of een private LLM, logging, DLP en een AI-register. En we testen toepassingen voor ze live gaan. Geen vendor-lock-in — alles op standaardtechniek, code en data blijven van jou.
Aan het einde weet je waar je risico's zitten — en wat de eerste concrete stappen zijn.
Plan een gesprek