• 5
  • IT-partner
  • 5
  • Als het platform van jou is, ben je nooit helemaal buiten beeld

Als het platform van jou is, ben je nooit helemaal buiten beeld

Elke AI-koppeling op je Microsoft-omgeving opent een nieuwe deur. Waarom toegang een risico is en hoe je er met regie grip op houdt.
5 it uitdagingen blog

Als het platform van jou is, ben je nooit helemaal buiten beeld

Waarom de opkomst van AI-tools een nieuwe verantwoordingsvraag stelt aan iedereen die een Microsoft-omgeving beheert.

We zien het bij vrijwel elke klant. Een medewerker vindt een handige AI-notetaker die vergaderingen automatisch samenvat. De salesafdeling wil een tool die het CRM koppelt aan de mailbox. De directie vraagt of het ERP niet slimmer kan door het te verbinden met SharePoint. Allemaal begrijpelijke wensen, en vaak ook zinvolle stappen.

Maar ergens in dat proces gebeurt iets wat zelden hardop wordt benoemd. Die tools krijgen toegang. Tot mailboxen, agenda’s, documenten, soms tot de hele tenant. En die toegang loopt via het platform dat wij beheren.

De comfortabele aanname die niet klopt

De klassieke redenering bij IT-beheerders is helder. Wij beheren het platform, de klant beheert zijn applicaties. Wat de klant aansluit, is zijn keuze en zijn verantwoordelijkheid. Dat klinkt logisch, en juridisch valt er veel voor te zeggen.

Toch is de praktijk weerbarstiger. Als een AI-tool met brede rechten via jouw beheerde omgeving een datalek veroorzaakt, maakt het voor de getroffen organisatie weinig uit wie formeel waarvoor verantwoordelijk was. De schade is er. En de vraag die dan valt, gaat niet enkel naar de tool-aanbieder. Die komt ook bij de beheerpartner terecht.

We zijn niet verantwoordelijk voor wat klanten aanschaffen. We zijn wel betrokken op het moment dat wij de technische schakel zijn waarlangs die tools hun werk doen. Dat is een subtiel maar belangrijk verschil.

RunningIT header

Wat recente incidenten ons leren

Een sprekend voorbeeld van de laatste jaren is de aanval via Salesforce, waarbij aanvallers binnenkwamen via de integratie met chatapplicatie Drift. Geen malware, geen gehackt wachtwoord. Gewoon een legitieme koppeling, waarvan de onderliggende ontwikkelomgeving was gekraakt. Het gevolg was een datalek bij honderden bedrijven.

Nog dichter bij huis ligt de CrowdStrike-uitval van 2024. Geen aanval, maar een defecte update van vertrouwde beheersoftware die wereldwijd miljoenen systemen platlegde. De schade was enorm, en de oorzaak simpel. Toegang die niemand in twijfel trok.

De les is niet dat je geen tools meer moet gebruiken. De les is dat toegang een risico is, ook als je die bewust en weloverwogen hebt verleend. En dat je als organisatie moet kunnen aantonen dat je die afweging hebt gemaakt.

Dat geldt voor grote enterprise-omgevingen, en net zo goed voor het MKB. Een AI-notetaker die meeluistert bij alle vergaderingen van het directieteam is geen theoretisch risico. Het is een concrete datastroom naar een externe partij, met een eigen beveiligingsbeleid, een eigen infrastructuur en eigen kwetsbaarheden.

De rol die wij pakken

Bij Running IT nemen we hierin bewust geen neutrale positie in. Niet omdat we klanten willen controleren of afremmen, maar omdat een goede regiepartner verder kijkt dan de technische grens van zijn eigen scope.

Concreet betekent dat we nieuwe koppelingen beoordelen voordat we ze faciliteren. We werken met een eenvoudige indeling. Standaard Microsoft-tooling vraagt geen extra stap. Externe tools met toegang tot mailboxen of documenten bespreken we met de klant en leggen we schriftelijk vast. Tools met brede tenant-rechten of onduidelijke afspraken over dataverwerking zetten we pas open als de klant aantoonbaar een bewuste keuze heeft gemaakt, inclusief een verwerkersovereenkomst met de aanbieder.

5 it uitdagingen blog

Wat dit van organisaties vraagt

Gebruik je een beheerde Microsoft-omgeving, dan is het goed om te beseffen dat de tools die je aansluit niet vanzelf onder de beveiliging en afspraken met je beheerpartner vallen. Elke externe koppeling is een nieuwe relatie, met een nieuwe partij, eigen voorwaarden en eigen risico’s.

De Cyberbeveiligingswet maakt dat concreter. Organisaties moeten straks grip houden op hun toeleveringsketen, en die keten omvat ook de software die je gebruikt. De vraag is niet of je een verwerkersovereenkomst hebt met je IT-partner. De vraag is of je er ook een hebt met de AI-tool die elke vergadering meeleest.

Dat klinkt als een detail. Het is precies het soort detail waar een toezichthouder straks op let.

De bredere verschuiving

Wat we hier beschrijven, hoort bij een grotere beweging. Cyberveiligheid verschuift van een technisch vraagstuk naar een bestuurlijk vraagstuk. De tools worden slimmer, de integraties dieper en de risico’s onzichtbaarder voor wie niet dagelijks met security bezig is.

Dat vraagt om een partner die de infrastructuur bewaakt én het gesprek voert. Die je helpt om bewuste keuzes te maken, in plaats van te wachten tot er iets misgaat. Dat is precies de regierol die wij voor het midden-MKB willen pakken.

Benieuwd hoe het zit met de AI-koppelingen in jouw omgeving, of wil je je huidige integraties eens laten beoordelen? We kijken er graag met je naar, ook als je nog geen klant bent.

Gerelateerde diensten

Netwerk & Connectiviteit
Cloud & Infrastructuur
Cyber Security

Klantcases

BHB Dullemond vindt IT vernieuwing met RunningIT

Benieuwd wat we voor jouw
organisatie kunnen betekenen?

Op zoek naar een IT-partner die grip geeft op je IT en kosten? Plan een gratis kennismaking en ontdek hoe wij je organisatie verder helpen.

7 + 7 =

Direct kennismaken?

Neem dan contact met ons op via onderstaand telefoonnummer.

088-2383000