“Ongecontroleerde aanschaf digitale tools is onaanvaardbaar bestuursrisico”

Opkomst ‘shadow AI’ vraagt om striktere governance

In veel organisaties is het nog steeds gangbaar dat afdelingen zelfstandig digitale applicaties aanschaffen, zonder goedkeuring of controle vanuit IT of security. Volgens Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyberdefense, ontstaat hierdoor een onacceptabel bestuursrisico. Met de opkomst van generatieve AI versnelt deze trend: het risico van ‘shadow IT’ breidt zich nu uit naar ‘shadow AI’. Organisaties moeten snel maatregelen nemen om grip te houden op digitale besluitvorming.

Het is volgens Van der Wel-ter Weel vreemd dat we bij IT andere normen hanteren dan bij declaraties. “Het is ondenkbaar dat afdelingen zelfstandig grote financiële beslissingen nemen. Voor de aanschaf van tools lijken andere normen te gelden, terwijl de risico’s ervan minstens zo groot zijn.”

De verantwoordelijkheid voor compliance van cybersecurity komt in de praktijk vaak terecht bij de Chief Information Security Officer (CISO) in plaats van de compliance-afdeling. Volgens Van der Wel-ter Weel is dat onterecht. “De NIS2-richtlijn maakt duidelijk dat compliance een verantwoordelijkheid is van de hele organisatie en niet alleen van de securityafdeling. Toch blijven nog te veel organisaties hangen in de reflex om alles bij security neer te leggen.”

[....]