Zo beheersen CIO's de risico's van GenAI
Generatieve AI (GenAI) is niet langer een speeltje voor tech-enthousiastelingen; het is diep geworteld in de systemen van de zakelijke markt. Maar met de komst van geïntegreerde AI-assistenten in de dagelijkse kantoorsoftware en bedrijfschats, groeit ook de hoofdpijn bij de IT-top. Hoe laat je werknemers profiteren van de enorme productiviteitswinst van AI, zonder dat intellectueel eigendom en privacygevoelige data ongemerkt weglekken naar de servers van externe techbedrijven?
Tijdens een recente rondetafelbijeenkomst van het CIO Cabinet van Beltug — de Belgische vereniging van digitale technologieleiders — bogen topfunctionalarissen zich over dit complexe vraagstuk. De conclusie? Volledig blokkeren is geen optie, maar blinde adoptie is levensgevaarlijk. De sleutel ligt in een continu transformerend model van risicobeheersing.
Het schijngevoel van controle
Veel organisaties baseren hun huidige GenAI-strategie op hun bestaande IT-infrastructuur. Er wordt gekozen voor AI-functies van leveranciers waarmee al langlopende contracten en vertrouwensbanden bestaan, in de veronderstelling dat de data binnen de muren van de eigen cloudomgeving blijft.
De CIO's gaven tijdens de discussie echter toe dat dit vertrouwen niet absoluut is. Er blijft grote onzekerheid bestaan over hoe data-inputs precies worden verwerkt, in hoeverre gegevens worden gebruikt om AI-modellen verder te trainen, en wie de juridische eigenaar is van de AI-gegenereerde output. Zelfs binnen zogenaamde 'beveiligde' enterprise-omgevingen blijft het risico op het onbedoeld delen van intellectueel eigendom (IP) reëel.
Waarschuwen in plaats van verbieden
Ondanks de risico's kiest vrijwel geen van de vertegenwoordigde organisaties voor een algeheel verbod op alternatieve of publieke AI-tools. De IT-leiders zijn zich er terdege van bewust dat een totale blokkade de interne innovatie verstikt en bovendien 'Shadow IT' in de hand werkt — werknemers die buiten het zicht van de IT-afdeling alsnog hun eigen gang gaan.
In plaats van een harde ban zetten organisaties in op actieve sturing. Bedrijven stimuleren het gebruik van de officieel goedgekeurde en dichtgetimmerde enterprise-tools, terwijl het gebruik van publieke platformen gepaard gaat met strikte interne waarschuwingen en gebruiksrichtlijnen.
Governance is een 'work in progress'
Het beteugelen van AI-risico's vraagt om een cultuuromslag op de werkvloer. De deelnemende CIO's benadrukten dat effectieve governance — het toezicht en de regelgeving binnen het bedrijf — momenteel continu wordt aangepast op basis van voortschrijdend inzicht.
De strategieën rusten op dit moment op drie belangrijke pijlers:
Verplichte training: Medewerkers krijgen pas toegang tot geavanceerde GenAI-toepassingen nadat zij een specifieke onboarding of training hebben doorlopen over het veilig omgaan met prompts en data.
Strikte AI-richtlijnen: Organisaties implementeren zogeheten Acceptable Use Policies waarin zwart-op-wit staat welke bedrijfsinformatie wel en absoluut niet met een AI gedeeld mag worden.
Actieve monitoring: IT-afdelingen monitoren het daadwerkelijke gebruik nauwgezet, inclusief het aantal actieve gebruikers en de toegekende licenties, om de controle over de kosten en de datastromen te behouden.
Uiteindelijk luidt de belangrijkste les van de Beltug-bijeenkomst dat cybersecurity en beleidslijnen flexibel moeten meebewegen met de snelheid van de technologie. Het managen van GenAI is geen eenmalig IT-project, maar een doorlopend proces waarin het vinden van de perfecte balans tussen innovatie en risicoacceptatie elke dag opnieuw moet worden geëvalueerd.
Meer over ai
Over Witold Kepinski
