Bedrijven en overheden in Nederland zien meer cyberrisico’s door AI. Criminelen gebruiken generatieve modellen om phishing, fraude en malware sneller te maken. De druk om digitale veiligheid op orde te brengen neemt toe, met Europese AI‑verordening gevolgen overheid en nieuwe NIS2‑eisen. Organisaties moeten nu handelen om persoonsgegevens en bedrijfsprocessen te beschermen.
AI vergroot aanvalskracht criminelen
Kunstmatige intelligentie verlaagt de drempel voor cybercrime. Met tools als OpenAI’s ChatGPT, Google Gemini en Meta’s Llama 3 schrijven aanvallers foutloze teksten in elke taal. Ze genereren overtuigende scenario’s, passen de toon aan per doelgroep en vertalen automatisch. Zo wordt misleiding sneller én geloofwaardiger.
AI helpt ook bij het maken en testen van schadelijke code. Code-assistenten stellen scripts voor die systemen verkennen of zwaktes misbruiken. Aanvallers draaien lokale modellen om detectie te vermijden en herhalen hun pogingen in korte cycli. De tijd tussen verkenning en aanval krimpt daardoor.
Voor salaris- en HR‑afdelingen is het risico extra groot. Zij verwerken gevoelige persoonsgegevens en betaaldata. Een kleine fout in autorisaties of e‑mailbeveiliging kan leiden tot datalekken of loonfraude. AVG‑boetes en verstoring van de loonrun liggen dan op de loer.
Phishing wordt persoonlijker en sneller
Generatieve systemen maken spearphishing op maat. Ze kopiëren schrijfstijl, jargon en opmaak van echte collega’s of leveranciers. Met openbare profielen van LinkedIn of bedrijfswebsites vullen ze details in die vertrouwen wekken. Berichten zijn kort, trefzeker en in foutloos Nederlands.
Phishing verschuift van massamail naar multikanaal. Aanvallers combineren e‑mail met sms, WhatsApp en LinkedIn‑berichten. Ze vragen om spoedbetalingen, nieuwe bankrekeningen of inlogcodes. Ook Teams- of Zoom‑uitnodigingen worden ingezet om gebruikers naar valse inlogpagina’s te lokken.
Business e‑mail compromise (BEC) krijgt zo een AI‑boost. Een model bootst de tone‑of‑voice van het management na en plaatst precies op vrijdagmiddag een betaalverzoek. In Microsoft 365 met Copilot en gedeelde documenten is het extra belangrijk om rechten en waarschuwingen goed in te stellen. Techniek alleen is niet genoeg; procesafspraken en tegenspraak horen erbij.
Spearphishing is gerichte phishing: een misleidend bericht dat is toegesneden op één persoon of rol, vaak met echte namen, functies en projecten.
Deepfakes en stemfraude rukken op
AI kan stemmen en gezichten geloofwaardig nabootsen. Voice‑cloning software, zowel commercieel (zoals Azure AI Speech) als open‑source, vereist soms slechts enkele seconden audiomateriaal. Daarmee klinkt een vals bericht als de echte directeur of HR‑manager. Het risico op misbruik bij autorisaties en betalingen neemt toe.
Video‑deepfakes betreden ook de werkvloer. In een korte Teams‑call kan een nagemaakt gezicht met vertrouwde achtergrond overtuigen. Bij twijfel moet de regel gelden: verbreek de lijn en bel terug via een bekend nummer. Vertrouw nooit alleen op een stem of beeld.
Organisaties kunnen dit afvangen met procesmaatregelen. Pas het vier-ogenprincipe toe bij loonmutaties en leverancierswijzigingen. Gebruik afgesproken codewoorden voor spoedbetalingen. Log ook mondelinge goedkeuringen en leg vast wie wanneer belt en bevestigt.
Europese regels scherpen plichten aan
De NIS2‑richtlijn verplicht meer sectoren tot strengere cyberhygiëne. Denk aan risicobeheer, supply‑chain‑beveiliging en incidentmelding binnen 24 uur. In Nederland wordt dit via de Wbni doorgevoerd, met toezicht door onder meer NCSC en vakdepartementen. Ook toeleveranciers van essentiële diensten vallen vaker onder deze plichten.
De AVG blijft het fundament voor privacy. HR‑ en salarisverwerking vragen om dataminimalisatie, versleuteling en periodieke DPIA’s. Deel geen persoonsgegevens met AI‑hulpen zonder verwerkersafspraken en doelbinding. “Proberen” met echte data in externe tools is simpelweg onrechtmatig.
Europese AI‑verordening: gevolgen overheid
De AI‑verordening (AI Act) werkt met risicoklassen. Toepassingen in werving, beoordeling en promotie gelden als hoog risico en eisen menselijk toezicht, logging en robuuste datakwaliteit. Overheden en publieke instellingen hebben extra plichten rond transparantie en klachtbehandeling. Op het moment van schrijven bereiden toezichthouders richtsnoeren en controle voor.
Generatieve AI krijgt transparantie‑eisen, zoals inhoudsmarkering en beleid tegen misbruik. Dat raakt ook communicatie‑teams en servicecentra die met ChatGPT, Gemini of Copilot werken. Beleid en technische instellingen moeten voorkomen dat vertrouwelijke informatie het model in gaat. Training en toegangsbeheer zijn hiervoor onmisbaar.
Voor inkopers betekent dit scherpere leverancierscontrole. Vraag naar modelherkomst, datalocatie in de EU en incidentprocedures. Leg afspraken vast in verwerkersovereenkomsten en security‑bijlagen. Controleer of leveranciers NIS2‑ en AI‑Act‑eisen kunnen aantonen.
Wat organisaties nu doen
Begin met een actuele risicoanalyse op AI‑misbruik. Breng systemen, data en bedrijfsprocessen in kaart en bepaal kroonjuwelen. Stel een duidelijk AI‑beleid op: wat mag wel, wat niet, en met welke tools. Registreer gebruikte modellen en hulpassistenten in een intern overzicht.
Versterk basismaatregelen: multifactor‑authenticatie, tijdige updates en streng e‑mail‑filteren. Activeer DMARC, DKIM en SPF om spoofing te blokkeren. Segmenteer netwerken en bescherm back‑ups offline of onveranderbaar. Gebruik endpoint‑detectie en waarschuwingsregels voor verdachte aanmeldingen en datadumps.
Investeer in mensen en processen. Train medewerkers op AI‑phishing, deepfakes en meldregels. Oefen met realistische scenario’s en spreek een “bel altijd terug”-procedure af. Publiceer interne noodnummers en meld binnen 24 uur bij ernstige IT‑incidenten.
Werk tenslotte aan ketenweerbaarheid. Beoordeel leveranciers van salaris- en HR‑software op NIS2‑ en AVG‑naleving. Vraag om pentest‑rapporten, logging en versleuteling van loondata. Raadpleeg het Digital Trust Center en het NCSC voor actuele dreigingsinformatie en handreikingen.
