± 10 minuten · 32 vragen · Direct resultaat

Start jouw AIRisicoScan.nl

Vul de scan in zoals de situatie vandaag is. Kies steeds het antwoord dat het best past bij de praktijk binnen jouw organisatie.

Bedrijfsnaam i

Contactpersoon

E-mail

Telefoon

Aantal medewerkers

Sector i

Rol invuller

✦ AI-gebruik & adoptie

Hoe AI feitelijk wordt gebruikt in de organisatie.

1. Welke omschrijving past het best bij het huidige AI-gebruik?

Denk aan ChatGPT, Copilot, Claude, Gemini, AI in CRM/ERP of branchetools.

AI wordt nauwelijks gebruikt Enkele medewerkers experimenteren informeel AI wordt regelmatig gebruikt door meerdere teams AI is opgenomen in processen en werkafspraken AI is strategisch geïntegreerd en meetbaar

2. Is bekend welke AI-tools medewerkers gebruiken?

Inclusief gratis tools, browserextensies en AI-functies in bestaande software.

Nee, geen overzicht Gedeeltelijk bekend Er is een lijst, maar niet actueel Actuele inventaris aanwezig Actuele inventaris plus eigenaar per tool

3. Wordt AI gebruikt met klant-, personeels- of bedrijfsgevoelige data?

Lagere score betekent hoger risico door onduidelijke datastromen.

Ja, zonder duidelijke regels Waarschijnlijk, maar niet gecontroleerd Alleen beperkt en informeel Alleen volgens richtlijnen Alleen binnen goedgekeurde, beveiligde omgevingen

4. Zijn AI-use-cases formeel gekozen en geprioriteerd?

Kijk of er bewuste keuzes zijn gemaakt in plaats van losse experimenten.

Nee Er zijn losse ideeën Er is een shortlist Use-cases zijn geprioriteerd Use-cases zijn gekoppeld aan doelen, risico en ROI

◇ Governance & beleid

Afspraken, eigenaarschap, besluitvorming en toezicht.

5. Is er een formeel AI-beleid of AI-gebruiksrichtlijn?

Een kort praktisch beleid is vaak al voldoende als startpunt.

Nee In concept Basisrichtlijn aanwezig Vastgesteld en gedeeld Actief beheerd en periodiek herzien

6. Wie is eindverantwoordelijk voor AI binnen de organisatie?

Zonder eigenaar blijft AI vaak tussen IT, directie, HR en juridische zaken hangen.

Niemand expliciet Informeel bij IT of management Eén eigenaar benoemd maar beperkt mandaat Eigenaar met duidelijke rol en mandaat Multidisciplinair AI-governance team

7. Is er een proces om nieuwe AI-tools goed te keuren?

Denk aan security, privacy, licenties, leveranciers en datagebruik.

Nee Alleen ad hoc overleg Eenvoudige beoordeling Formeel goedkeuringsproces Proces met risicoclassificatie en registratie

8. Wordt AI-gebruik periodiek geëvalueerd door management?

Managementaandacht voorkomt wildgroei en maakt waarde zichtbaar.

Nee Alleen bij incidenten Incidenteel besproken Periodiek besproken Periodiek met KPI’s, risico’s en besluiten

◈ Security & privacy

Dataveiligheid, AVG, logging en risico op datalekken.

9. Zijn er regels voor het invoeren van vertrouwelijke data in AI-tools?

Dit is een van de belangrijkste risico’s bij generatieve AI.

Nee Mondeling gewaarschuwd Algemene regel, niet uitgewerkt Duidelijke datarichtlijnen Datarichtlijnen met technische handhaving

10. Is dataclassificatie aanwezig?

Bijvoorbeeld openbaar, intern, vertrouwelijk, persoonsgegevens, geheim.

Nee Beperkt of informeel Alleen voor enkele databronnen Breed toegepast Breed toegepast en gekoppeld aan AI-gebruik

11. Wordt toegang tot AI-tools beheerd via centrale accounts/SSO?

Centrale toegang helpt bij beheer, logging en offboarding.

Nee, vooral privéaccounts Mix van privé en zakelijk Zakelijke accounts zonder centraal beheer Centraal beheerde accounts SSO, MFA, logging en lifecyclebeheer

12. Zijn logging en monitoring op AI-gebruik ingericht?

Niet altijd op inhoud, maar minimaal op toegang, gebruik en afwijkingen.

Nee Alleen facturatie/licenties zichtbaar Basisgebruik zichtbaar Logging en rapportage aanwezig Monitoring gekoppeld aan securityproces

◌ Medewerkers & vaardigheden

Training, bewustzijn, prompting en verantwoord gebruik.

13. Hebben medewerkers training gehad in veilig en effectief AI-gebruik?

Training moet zowel kansen als risico’s behandelen.

Nee Alleen enkele voorlopers Eenmalige introductie Brede training voor relevante medewerkers Structureel leerprogramma per rol

14. Weten medewerkers wat shadow AI is en waarom dit risicovol is?

Shadow AI is ongecontroleerd gebruik van AI-tools buiten beleid of toezicht.

Nee Enkelen weten dit Algemeen benoemd Duidelijk uitgelegd in richtlijnen/training Actief gemonitord en bespreekbaar gemaakt

15. Is er interne ondersteuning voor AI-vragen?

Bijvoorbeeld AI-champion, servicedesk, kennisbank of aanspreekpunt.

Nee Informeel via collega’s Eén aanspreekpunt Aanspreekpunten per afdeling Formele supportstructuur en kennisbank

16. Wordt AI-output gecontroleerd voordat die extern of besluitvormend wordt gebruikt?

Denk aan hallucinatierisico, bias, auteursrecht en kwaliteit.

Nee Afhankelijk van medewerker Globale afspraak Controleproces voor belangrijke output Controleproces met rolverdeling en vastlegging

▣ Techniek & integratie

Microsoft 365, Copilot, data, API’s en beheerbaarheid.

17. Is Microsoft 365/Copilot of vergelijkbare AI technisch voorbereid?

Denk vooral aan rechten, SharePoint, Teams, datakwaliteit en toegang.

Nee / onbekend Eerste verkenning Licenties of pilots aanwezig Technische voorbereiding grotendeels gedaan Ingericht met governance, security en adoptieplan

18. Zijn rechten op documenten en mappen opgeschoond?

Copilot en vergelijkbare tools maken te ruime rechten sneller zichtbaar en risicovol.

Nee Alleen bij incidenten Deels opgeschoond Structurele rechtenreview Rechtenbeheer geautomatiseerd en periodiek gecontroleerd

19. Zijn AI-tools gekoppeld aan bedrijfsprocessen of data?

Bijvoorbeeld CRM, servicedesk, finance, HR of kennisbanken.

Nee Alleen handmatig knippen/plakken Beperkte koppelingen of pilots Enkele gecontroleerde integraties Meerdere veilige integraties met eigenaarschap

20. Is er beleid voor AI-browserextensies en plug-ins?

Extensies kunnen toegang krijgen tot webpagina’s, mail of documenten.

Nee Ad hoc geblokkeerd/toegestaan Enkele regels Centrale goedkeuring en beheer Technisch afgedwongen whitelist/blacklist

☑ Compliance & juridische borging

EU AI Act, AVG, audittrail, aansprakelijkheid en documentatie.

21. Is AI-gebruik vastgelegd voor audit of klantvragen?

Denk aan toolregister, verwerkingsdoeleinden, eigenaren en risico’s.

Nee Verspreide notities Basisregistratie Actuele registratie Actuele registratie met risico- en compliancebeoordeling

22. Is beoordeeld of AI-toepassingen persoonsgegevens verwerken?

AVG-risico’s ontstaan vaak door prompts, uploads en output.

Nee Alleen informeel Voor enkele tools Voor alle belangrijke tools Met DPIA/AVG-check waar nodig

23. Is rekening gehouden met EU AI Act verplichtingen?

Niet ieder bedrijf valt meteen onder zware verplichtingen, maar bewustzijn is belangrijk.

Nee We kennen het globaal Eerste impactscan gedaan Risicocategorieën beoordeeld Proces ingericht voor classificatie, documentatie en controle

24. Zijn afspraken over AI opgenomen in contracten met leveranciers?

Denk aan datagebruik, subverwerkers, training van modellen en aansprakelijkheid.

Nee Alleen bij enkele leveranciers Algemene verwerkersafspraken AI-specifieke afspraken bij relevante leveranciers Contracten periodiek beoordeeld op AI-risico’s

⬡ Strategie & waardecreatie

ROI, prioriteiten, use-cases en managementsturing.

25. Heeft de organisatie concrete AI-doelen geformuleerd?

Bijvoorbeeld productiviteit, klantservice, kwaliteit, innovatie of kostenverlaging.

Nee Alleen algemene ambitie Enkele doelen benoemd Concrete doelen per afdeling Doelen met KPI’s, budget en eigenaar

26. Wordt de waarde van AI gemeten?

Zonder meting blijft AI vaak een hype of kostenpost.

Nee Anekdotisch Enkele metingen/pilots KPI’s per use-case Structurele ROI- en risicorapportage

27. Is er een 30/90/180-dagen roadmap voor AI?

Een korte roadmap helpt om beleid, training en techniek concreet te maken.

Nee Losse acties Concept-roadmap Roadmap vastgesteld Roadmap met budget, eigenaars en voortgangsrapportage

28. Is AI gekoppeld aan concurrentiekracht of klantwaarde?

Bijvoorbeeld snellere service, betere kennisdeling, slimmere offertes of nieuwe diensten.

Nee Nog verkennend Enkele ideeën Use-cases gekoppeld aan klantwaarde AI is onderdeel van propositie of onderscheidend vermogen

↗ MSP & leveranciers

Rol van IT-partner, contracten, beheer en verantwoordelijkheden.

29. Is duidelijk welke rol de MSP/IT-dienstverlener heeft rond AI?

Bijvoorbeeld beheer van Copilot, security, rechten, logging en support.

Nee Alleen informeel Globaal besproken Rol vastgelegd Rol inclusief SLA, rapportage en verantwoordelijkheden vastgelegd

30. Geeft de IT-partner advies over AI-risico’s en veilige inrichting?

Niet alleen licenties verkopen, maar ook helpen met beheer en risico’s.

Nee Beperkt op verzoek Algemeen advies Proactief advies Proactief advies met controles, rapportage en verbeterplan

31. Zijn AI-gerelateerde beheerafspraken opgenomen in SLA of contract?

Denk aan incidenten, logging, rechtenreviews, wijzigingen en support.

Nee Alleen mondeling Algemene IT-afspraken AI deels opgenomen AI volledig opgenomen inclusief rapportage en evaluatie

32. Is er een exit- of overdrachtsplan voor AI-tools en data?

Belangrijk bij leverancierswissel, fusie, beëindiging of incident.

Nee Alleen algemene exit-afspraken Voor enkele tools Exit-afspraken voor belangrijke AI-tools Getest overdrachtsplan met data, configuratie en eigenaarschap

Ja, er mag contact met mij worden opgenomen Ik wil graag vrijblijvend contact over mijn scanresultaat, mogelijke vervolgstappen of ondersteuning bij AI-governance.

Ja, stuur mij aanvullende executive inzichten en opvolging over mijn AI-risicoanalyse Inclusief praktische tips, governance-inzichten en herinnering wanneer mijn executive rapport nog klaarstaat.

Start jouw AIRisicoScan.nl

✦ AI-gebruik & adoptie

1. Welke omschrijving past het best bij het huidige AI-gebruik? i Deze vraag laat zien of AI nog experimenteel wordt gebruikt of al structureel onderdeel is van processen. Dat bepaalt hoeveel governance en controle nodig is.

2. Is bekend welke AI-tools medewerkers gebruiken? i Zonder overzicht van gebruikte AI-tools is er geen grip op data, risico’s, kosten en verantwoordelijkheden.

3. Wordt AI gebruikt met klant-, personeels- of bedrijfsgevoelige data? i Deze vraag is belangrijk omdat gevoelige data in AI-tools kan leiden tot privacy-, security- en AVG-risico’s.

4. Zijn AI-use-cases formeel gekozen en geprioriteerd? i Prioritering voorkomt losse experimenten en helpt om AI gericht in te zetten waar waarde en risico in balans zijn.

◇ Governance & beleid

5. Is er een formeel AI-beleid of AI-gebruiksrichtlijn? i AI-beleid geeft medewerkers duidelijke kaders over wat wel en niet mag en voorkomt ongecontroleerd gebruik.

6. Wie is eindverantwoordelijk voor AI binnen de organisatie? i Zonder eigenaar blijft AI vaak tussen directie, IT, HR en compliance hangen, waardoor besluiten en toezicht uitblijven.

7. Is er een proces om nieuwe AI-tools goed te keuren? i Een goedkeuringsproces voorkomt dat onveilige of ongeschikte AI-tools zonder controle worden gebruikt.

8. Wordt AI-gebruik periodiek geëvalueerd door management? i Managementevaluatie zorgt dat AI niet alleen technisch wordt bekeken, maar ook op risico, waarde en bedrijfsimpact.

◈ Security & privacy

9. Zijn er regels voor het invoeren van vertrouwelijke data in AI-tools? i Dit voorkomt dat klantgegevens, persoonsgegevens of bedrijfsgeheimen onbedoeld in externe AI-systemen terechtkomen.

10. Is dataclassificatie aanwezig? i Dataclassificatie helpt medewerkers bepalen welke informatie wel of niet met AI-tools gebruikt mag worden.

11. Wordt toegang tot AI-tools beheerd via centrale accounts/SSO? i Centraal accountbeheer maakt het mogelijk om toegang, logging, MFA en uitdiensttreding goed te regelen.

12. Zijn logging en monitoring op AI-gebruik ingericht? i Monitoring helpt om misbruik, ongewenst gebruik en afwijkingen tijdig te signaleren.

◌ Medewerkers & vaardigheden

13. Hebben medewerkers training gehad in veilig en effectief AI-gebruik? i Training verkleint de kans op fouten, datalekken en blind vertrouwen op AI-output.

14. Weten medewerkers wat shadow AI is en waarom dit risicovol is? i Bewustzijn over shadow AI helpt voorkomen dat medewerkers buiten beleid om tools gebruiken met gevoelige informatie.

15. Is er interne ondersteuning voor AI-vragen? i Een aanspreekpunt voorkomt dat medewerkers zelf gaan improviseren en helpt veilig gebruik te stimuleren.

16. Wordt AI-output gecontroleerd voordat die extern of besluitvormend wordt gebruikt? i AI kan overtuigend maar onjuist antwoorden. Controle voorkomt fouten in communicatie, besluiten en klantadvies.

▣ Techniek & integratie

17. Is Microsoft 365/Copilot of vergelijkbare AI technisch voorbereid? i Copilot en vergelijkbare tools werken met bestaande rechten en data. Slechte inrichting kan gevoelige informatie zichtbaar maken.

18. Zijn rechten op documenten en mappen opgeschoond? i Te ruime rechten worden door AI sneller zichtbaar en kunnen leiden tot ongewenste toegang tot vertrouwelijke informatie.

19. Zijn AI-tools gekoppeld aan bedrijfsprocessen of data? i Koppelingen vergroten de waarde van AI, maar ook de impact van fouten, datalekken of verkeerde automatisering.

20. Is er beleid voor AI-browserextensies en plug-ins? i Waarom deze vraag: Extensies kunnen toegang krijgen tot webpagina’s, mail of documenten.