Expertsessie voor CISOs – ISO 27001 en AI beleid

ICT Institute organiseert regelmatig exportsessie waarin we security officers en andere professionals uitnodigen om zowel positieve ervaringen en uitdagingen te delen. Werk jij in een organisatie die een ISMS heeft volgens ISO 27001 en wil je dit verder verbeteren? Doe dan op vrijdag 21 augustus digitaal of in Utrecht mee aan deze kennissessie. Het onderwerp van deze sessie is AI-beleid en ISO 27001. Onderwerpen die we willen bespreken zijn:

• Welke AI-risico’s spelen er in jullie organisatie en welke tools / middelen worden gebruikt om deze te voorkomen?
• Welke ISO 27001 elementen gebruiken jullie of hebben jullie aangepast vanwege AI-risico’s?

Opzet

De opzet van deze sessie is dat alle deelnemers gelijkwaardig zijn en we allemaal van elkaar willen leren. De opzet is dan ook als volgt:

• ICT Institute leidt het gesprek en vraagt bijvoorbeeld iedereen om 1 ervaring of risico’s te delen
• Op basis van gedeelde ervaringen bespreken we een paar gemeenschappelijke uitdagingen dieper
• Iedereen maakt eigen aantekeningen over tips en tricks. Besproken namen en concrete gevallen moeten door iedereen als vertrouwelijk worden behandeld

Deze opzet lijkt op een vergelijkbare sessie uit 2024 over bewustwording.

Verwachte uitkomsten

Op basis van onze eigen ervaringen heeft AI veel invloed op bedrijven en dus ook op de informatiebeveiliging. We denken dat elke CISO bij de volgende zaken ook AI moet meenemen en eventueel een update moet doen:

• Risicoregister: Opnemen van risico op lekken van data via AI-tools, kans op verkeerde besluiten door AI hallucinaties. Bij sommige inzet van AI ook kans op bias en discriminatie
• A 5.19 Leveranciersrelaties. Het is belangrijk om na te gaan welke leveranciers AI gebruiken in hun diensten en of dit verantwoord ingezet wordt
• A 6.3 Bewustwording van, opleiding en training in informatiebeveiliging. Het is nodig vanuit de AI Act om gebruikers te trainen in het verantwoord gebruik van AI
• A8.11 Maskeren van gegevens. Als AI-modellen mogen worden gebruikt, hoe zorg je ervoor dat vertrouwelijke gegevens niet met AI worden gedeeld?
• A 8.28 Veilig coderen. Mogen software-ontwikkelaars AI gebruiken om code te schrijven en hoe zorg je ervoor dat dit veilig blijft?

Institute heeft een eigen beleid voor verantwoord gebruik van AI maar dat willen we graag uitbreiden en verbeteren. Ook willen we onze ISO 27001 templates verder gaan verbeteren als daar behoefte aan is.

Datum en aanmelding

Datum: vrijdag 21 aug,  13:00-15:00 (CET)

Locatie: hybride. U kunt online meedoen via Google Meet , of vanuit het kantoor van ICT Institute (Europalaan 400 in Utrecht)

Aanmelden: stuur een e-mail naar Sieuwert at ictinstitute punt nl met uw naam, organisatie en of u op locatie of online wilt deelnemen. Het aantal plaatsen is beperkt.

Kosten: gratis.

Geselecteerde bronnen

Tijdens de sessie komen de volgende bronnen mogelijk ter sprake. Weet u nog meer bronnen, stuur dit gerust in of breng het in in het gesprek.

• Quickscan AI in de Publieke Dienstverlening III (TNO, 2024) en Overheidsbrede Monitor Generatieve AI (TNO, 2025) – onderzoeken bij overheidsorganisaties en gemeenten in Nederland. Bieden een relevante vergelijkingscontext.
• Autoriteit Persoonsgegevens – visie op generatieve AI (mei 2025) – de positie van de Nederlandse toezichthouder op verantwoord gebruik van GenAI, inclusief de gids voor AI-geletterdheid (artikel 4 AI-verordening).
• OWASP Top 10 voor LLM-toepassingen 2025 – praktijkconsensus over de tien grootste risico’s voor LLM-gebaseerde toepassingen.
• ENISA Threat Landscape 2025 – EU-dreigingsdata, met AI als belangrijkste motor van verandering.

bron afbeelding: omar-lopez-rincon via unsplash