Rashed Nikukar van Jamf stelt dat AI, zero trust en keuzevrijheid op de werkplek de overheid tot nieuwe keuzes dwingen. Het gaat om veilige en rechtmatige inzet van technologie in Nederlandse en Europese publieke diensten. De druk neemt toe door de Europese AI-verordening en NIS2, én door personeel dat moderne apparaten en tools verwacht. Beleidskeuzes zijn nu nodig om risico’s te beperken en dienstverlening stabiel te houden.
Overheid moet nu kiezen
Publieke organisaties balanceren tussen veiligheid, privacy en gebruiksgemak. Kunstmatige intelligentie belooft efficiëntere processen, maar verhoogt ook toezicht- en aansprakelijkheidsrisico’s. Zero trust-architectuur en moderne apparaatkeuze vragen om investeringen en duidelijke grenzen.
IT-teams in de overheid werken vaak met verouderde systemen naast cloudoplossingen. Dat maakt integraal risicobeheer lastig. Een samenhangende aanpak voor identiteit, apparaten, netwerken en data is daarom noodzakelijk.
Leveranciers als Jamf, die Apple-apparaten beheren en beveiligen, schuiven oplossingen naar voren voor device- en identiteitsvertrouwen. Tegelijk waarschuwen toezichthouders voor te snelle adoptie zonder governance. De kern: eerst beleid en kaders, dan pas opschalen.
AI krijgt duidelijke kaders
De Europese AI-verordening (AI Act) zet spelregels voor het ontwerp en gebruik van algoritmen. Systemen worden ingedeeld op risico, met extra verplichtingen voor hoog-risico-toepassingen in de publieke sector. Denk aan eisen voor datakwaliteit, menselijk toezicht en technische documentatie.
Voor overheden betekent dit registreren van hoog-risico-systemen, uitleg kunnen geven over beslissingen en continue monitoring. Op het moment van schrijven gelden onderdelen van de verordening gefaseerd, met de zwaarste plichten richting 2026 van kracht. Aansluiting op bestaande AVG-processen, zoals DPIA’s en dataminimalisatie, voorkomt dubbel werk.
Generieke AI-modellen (foundation- of general-purpose-modellen) krijgen eveneens regels voor transparantie en risicobeperking. Inkoop moet daarom vragen naar trainingsdata, evaluaties, modelkaarten en auditlogboeken. Zonder zulke informatie dreigt non-conformiteit en stilstand in projecten.
Zero trust wordt norm
Zero trust is een beveiligingsaanpak die elke toegang opnieuw verifieert, in plaats van eenmalig te vertrouwen. Het past bij hybride werken en wisselende cloudomgevingen. Voor de overheid sluit dit aan op de BIO, NIS2 en ENSIA-verantwoording.
Technisch komt dat neer op sterke identiteit (MFA), apparaatattestatie, contextbewuste policies en microsegmentatie. Oplossingen koppelen apparaatgezondheid aan toegang tot apps en data. Voor Apple-omgevingen bieden suites zoals Jamf Pro (beheer), Jamf Protect (endpointbeveiliging) en Jamf Connect (identiteit) zulke functies.
De aanpak werkt alleen met goede basisregistratie en actuele configuraties. Loggen en alerting zijn cruciaal om afwijkingen vroeg te zien. Leveranciersketens moeten worden meegenomen, omdat NIS2 nadrukkelijk naar toeleveranciers kijkt.
Zero trust betekent: nooit vanzelf vertrouwen, maar elke gebruiker, elk apparaat en elke sessie steeds opnieuw verifiëren.
Keuzevrijheid met beveiliging
Keuzevrijheid op de werkplek (CYOD of BYOD) vergroot tevredenheid en kan werving helpen. Tegelijk vraagt het om strikte scheiding tussen werk en privé. Mobiel apparaatbeheer (MDM) en per-app VPN zorgen dat alleen zakelijke data door beveiligde kanalen gaan.
Voor iPhone en iPad kan beperkte inschrijving voorkomen dat privébestanden zichtbaar zijn voor de werkgever. Op Android kan een werkprofiel hetzelfde bereiken. Duidelijke communicatie richting medewerkers en ondernemingsraad verkleint privacyzorgen.
AVG-eisen blijven leidend: verwerk zo min mogelijk gegevens, versleutel standaard en verwijder wat niet nodig is. Bij AI-functies op apparaten is uitleg nodig welke data lokaal blijven en wat naar de cloud gaat. Documenteer dit in DPIA’s en privacyverklaringen.
Data dichtbij en versleuteld
On-device AI verwerkt gegevens op het apparaat zelf en vermindert datastromen naar de cloud. Dat kan helpen bij AVG-naleving en het beperken van datalekrisico’s. Voor sommige taken is centrale verwerking toch nodig, wat regionale datacenters en sterke versleuteling vereist.
Europese datalocatie en sleutelbeheer zijn belangrijke inkoopcriteria bij publieke diensten. Overheidsorganisaties beoordelen ook doorgiften buiten de EU. Het EU‑VS Data Privacy Framework en standaardclausules kunnen helpen, maar beleid kiest steeds vaker voor EU‑cloudopties.
Endpointtelemetrie en logdata zijn nuttig voor detectie, maar moeten worden geminimaliseerd. Stel bewaartermijnen in en pseudonimiseer waar mogelijk. Controleer of leveranciers voldoende technische en organisatorische maatregelen toepassen.
Praktische stappen voor inkopers
Begin met een portfolio-analyse: welke algoritmen draaien waar, met welk risico en welke data? Koppel dit aan de risicoklassen van de AI‑verordening en de BIO. Leg per toepassing vast welke bewijzen, tests en logs vereist zijn.
Schrijf zero trust-eisen uit in aanbestedingen: apparaatattestatie, contextuele toegang, gedetailleerde auditlogs en interoperabiliteit. Vraag leveranciers zoals Jamf om technische onderbouwing en onafhankelijke audits. Neem exit‑clausules en dataportabiliteit op om lock‑in te vermijden.
Voer DPIA’s en security tests uit vóór productie en herhaal die periodiek. Betrek de functionaris gegevensbescherming en CISO bij elke stap. Monitor naleving continu en rapporteer via ENSIA, zodat bestuur en toezichthouders inzicht houden.
