AI als versneller of als vervanger van je ISO 27001 compliance?
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
Heading 1
Heading 2
Heading 3
Heading 4
Heading 5
Heading 6
Lorem ipsum by sit amet, consectetur adipiscing elit, sed do eusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Dis aute irure door in reprehenderit in voluptate velit se cillum dolore eu fugiat nulla pariatur.
Block quote
Ordered list
- Item 1
- Item 2
- Item 3
Unordered list
- Item A
- Item B
- Item C
Bold text
Emphasis
Superscript
Subscript
Wat AI wel en niet kan overnemen
Compliance draait om verantwoordelijkheid: aantoonbaar laten zien dat je risico's beheerst en dat de keuzes die je daarvoor maakt passen bij jouw organisatie. Die verantwoordelijkheid kan een AI-model niet dragen. Het herkent patronen, leest documenten en voert opdrachten uit, maar het beoordeelt niet of een maatregel passend is voor jouw specifieke situatie, jouw risicoprofiel, jouw processen.
Tegelijkertijd zit er in elk compliance-traject een grote hoeveelheid werk dat veel tijd kost maar weinig inhoudelijk oordeel vraagt. Een beleidsstuk vergelijken met een configuratie. Taken aanmaken op basis van auditbevindingen. De status van openstaande risico's samenvatten. Dat is precies waar AI goed in is. De inhoudelijke beslissing blijft bij jou, het uitvoerende werk gaat een stuk sneller.
Wat AI via het Model Context Protocol mogelijk maakt
Het Model Context Protocol (MCP) is een open standaard waarmee AI-assistenten zoals Claude of ChatGPT verbinding maken met een platform zoals dat van onze partner Tidal Control. Je koppelt je AI-tool aan je omgeving en geeft opdrachten in gewone taal. De assistent doorzoekt je compliance-data, maakt taken aan, legt verbanden tussen risico's en controls, of vat de status van je ISMS samen.
Je bestaande rechten blijven daarbij gewoon gelden. Heb je alleen leesrechten in het portaal, dan kan de assistent ook alleen lezen. De verbinding loopt onder jouw identiteit, nadat je eenmalig hebt ingelogd. De AI krijgt dus nooit meer toegang dan jij zelf hebt.
Wat je er concreet mee kunt? Vragen stellen als "welke kritieke risico's hebben geen controls gekoppeld?" of "laat alle leveranciers zien met een verlopen beoordeling." Bulkacties uitvoeren zoals meerdere assets of controls in één prompt toevoegen. Beleidsdocumenten laten doorzoeken op inhoud. Of simpelweg: "wat staat er volgende week voor mij gepland?" — zonder dat je namen of datums hoeft uit te spellen.
Hoe Triagen.ai er dagelijks mee werkt
Triagen.ai bouwt AI-gestuurde triage- en intakesoftware voor arbodiensten en bedrijfsartsen. Ze werken met gezondheidsgegevens, dus naast ISO 27001 is NEN 7510 ook van toepassing. Het is een klein, snel team dat samen met Tidal Control en Fendix toewerkt naar certificering. Elke bespaarde minuut telt.
Stefan Samba, co-founder en CTO, gebruikt de MCP-koppeling rechtstreeks vanuit zijn code-editor. Triagen werkt met een zogenaamde monorepo: alle broncode van het platform (van infrastructuur tot frontend) staat in één centrale opslagplaats. Dat maakt het makkelijker om beleid en technische werkelijkheid naast elkaar te leggen.
Vroeger betekende dat: het beleidsstuk in Tidal opzoeken, de relevante passage lezen, in de code kijken hoe het er technisch uitziet, en het resultaat handmatig terugschrijven. Scherm voor scherm. Nu geeft Stefan één opdracht: "leg deze encryptie-policy naast onze infrastructuur." De assistent leest het beleidssjabloon, zoekt in de code naar de encryptie-instellingen, vindt daar bijvoorbeeld TLS 1.3, en past de policy daarop aan. Stefan beoordeelt of het klopt. Het zoekwerk gaat van minuten naar seconden.
"Eerst zou je in Tidal de policy erbij pakken, lezen, aanpassen, kopiëren, plakken, van het ene scherm naar het andere. Nu zeg ik gewoon: leg deze policy naast onze infrastructuur, en de MCP past het automatisch voor me aan. Dat werkt mega goed."
Losse gedachten direct verwerken geen omweg via de backlog
Wie de hele dag bouwt, krijgt voortdurend kleine compliance-to-do's: dit bedrijfsmiddel moet er nog in, die leverancier staat er nog niet bij. Vroeger verdween zo'n taak eerst in Jira en daarna ergens op de backlog. Nu opent Stefan een sessie in zijn AI-tool en prompt: "voeg deze leverancier en dit bedrijfsmiddel toe in Tidal Control." Tien seconden, geen administratieve omweg.
"Het verschil tussen wel of niet bijgehouden compliance zit precies in dit soort kleine wrijvingen," zegt Stefan.
Hoe de consultant er efficiënter door werkt
De winst blijft niet alleen bij de klant. Fendix begeleidt een groeiend aantal organisaties bij ISO 27001-implementaties en neemt de MCP-werkwijze daarin mee. Voor een consultant die meerdere klanten tegelijk begeleidt, scheelt het enorm om gericht vragen te kunnen stellen in plaats van handmatig door omgevingen te navigeren.
Neem bewijslast verzamelen, normaal het werk dat de meeste tijd opslokt. In plaats van handmatig bestanden bij elkaar zoeken voor een kwartaalcontrole, volstaat een prompt als: "verzamel alle incidenten van Q2 en vat de openstaande actiepunten samen voor de directie." Of bij een interne audit: "maak taken aan voor alle non-conformities uit de laatste audit en wijs ze toe aan de juiste systeemeigenaren." De assistent doet het koppel- en verzamelwerk, de consultant beoordeelt of het klopt.
Hetzelfde geldt voor beleid aanpassen aan de specifieke situatie van een klant. Een vraag als "herschrijf dit wachtwoordbeleid zodat het aansluit op de huidige Entra ID-configuratie" levert een bruikbare eerste versie op die de consultant nog aanscherpt, in plaats van vanaf nul te schrijven. Zo verschuift de tijd van administratie naar het werk waarvoor je een consultant inhuurt: advies en begeleiding.
Veilig omgaan met AI in je compliance-omgeving
Een AI-assistent in je compliance-omgeving vraagt om bewuste keuzes, maar de principes zijn niet nieuw. De belangrijkste waarborg zit al in de techniek: via MCP gelden je bestaande rechten, dus een assistent kan nooit meer dan jij zelf mag. Een leesgebruiker blijft een leesgebruiker.
Daarnaast heb je een aantal instellingen zelf in de hand. Geef je AI-tool alleen de toegang die nodig is. Controleer bij je aanbieder of je data gebruikt wordt om modellen te trainen en zet die instelling bewust uit als je dat niet wilt. Houd er ook rekening mee dat data bij een niet-lokale assistent naar de aanbieder gaat — weeg af welke gevoeligheid je daarin toelaat. Dezelfde principes van toegangsbeheer en gegevensbescherming die je elders al toepast, gelden ook hier.
AI omarmen, niet uitbesteden
Triagen.ai en Fendix laten zien waar AI in Tidal op zijn best is. Niet als vervanger van het oordeel dat compliance vraagt, maar als versneller van het werk eromheen. Kleine wrijvingen die dagelijks tijd kosten worden weggenomen. Bewijslast verzamelen gaat sneller. Beleid afstemmen op de technische werkelijkheid kost minder stappen.
Jij blijft aan het stuur. AI doet het uitvoerende werk. Dat is een realistischere belofte dan volledige automatisering en één die in de praktijk standhoudt.
Benieuwd hoe je dit zelf kunt inzetten? Neem gerust contact op.
