Wie het nieuwsbericht op Security.nl leest over de gemeente Eindhoven ziet al snel een bekend patroon. Medewerkers voerden persoonsgegevens van inwoners in op externe AI-websites, met een datalek tot gevolg. Geen hack. Geen kwaadwillende insider. Wel mensen die hun werk wilden doen en daarvoor een handig hulpmiddel gebruikten. Het oorspronkelijke artikel staat hier: Gemeente Eindhoven lekt persoonlijke gegevens inwoners via AI-websites (Security.nl).
Het incident voelt modern. Bijna futuristisch. In werkelijkheid is het oud gedrag in een nieuw jasje.
Wat hier gebeurde, gebeurt al jaren. Alleen heette het toen geen AI. Teksten gingen door Google Translate. Bestanden werden gemaild naar een privé-adres om ’s avonds nog even verder te werken. Data belandde in persoonlijke cloudopslag omdat dat nu eenmaal sneller was dan de officiële weg. Iedere keer dezelfde drijfveer. Snelheid. Gemak. Werk gedaan krijgen.
De AI-tool is hier niet het probleem. De tool doet precies wat hij belooft. De fout zit in de context eromheen. Of beter gezegd, het ontbreken daarvan.
Vanuit technisch perspectief hebben veel organisaties hun zaken redelijk op orde. Netwerken zijn gesegmenteerd. Toegang is geregeld. Logging staat aan. Privacy- en securitybeleid liggen vast. En toch gaat het hier mis. Niet omdat de techniek faalt, maar omdat architectuur vaak ophoudt waar menselijk gedrag begint.
Als architect ontwerp je systemen, maar je ontwerpt onvermijdelijk ook hoe mensen ermee werken. Doe je dat niet expliciet, dan ontstaat er vanzelf een praktijkarchitectuur. Die is meestal creatief, efficiënt en volledig in strijd met je bedoelingen.
Medewerkers zijn geen risicozoekers. Ze zijn oplossingszoekers. Wanneer een AI-tool hen helpt om sneller een tekst te schrijven, een samenvatting te maken of een lastige formulering te verbeteren, dan voelt dat logisch. Zeker als niemand ooit heeft uitgelegd waar de grens ligt. Of waarom die grens er überhaupt is.
Het lastige aan AI is niet dat het nieuw is, maar dat het laagdrempelig is. Iedereen kan het gebruiken. Zonder installatie. Zonder training. Zonder zichtbare gevolgen. Tot het misgaat.
Daar wringt het. Veel organisaties reageren met beleid. Met verboden. Met een extra paragraaf in het securityhandboek. Dat werkt zelden. Mensen lezen beleid niet tijdens hun werk. Ze werken tijdens hun werk.
Training wordt dan vaak gezien als bijzaak. Iets wat je een keer regelt via een e-learning met een vinkje aan het eind. Maar bewust omgaan met data vraagt meer dan dat. Het vraagt uitleg in herkenbare situaties. Voorbeelden die aansluiten op de dagelijkse praktijk. En vooral duidelijkheid over wat wél mag.
Zeggen dat AI niet gebruikt mag worden, zonder een alternatief te bieden, is vragen om schaduwgebruik. Mensen stoppen niet met werken omdat beleid dat vraagt. Ze passen hun gedrag aan tot het weer werkt.
Hier raakt dit incident direct aan de rol van de architect. Die rol verschuift. Niet van techniek naar soft gedoe, maar van techniek alleen naar techniek in context. Architectuur gaat niet alleen over systemen en integraties, maar ook over kaders, gedrag en verwachtingen.
Dat betekent dat je als architect vragen moet stellen die verder gaan dan de oplossing. Welke tools gaan mensen sowieso gebruiken. Welke data is gevoelig in de praktijk, niet alleen op papier. En hoe maken we veilig gedrag makkelijker dan onveilig gedrag.
Organisaties die hier nu serieus werk van maken, beginnen niet met een verbod op AI. Ze beginnen met inzicht. Welke AI-tools worden al gebruikt. Waarom. Door wie. Vervolgens maken ze heldere afspraken in gewone taal. Niet juridisch. Niet abstract. Praktisch. En ze zorgen voor veilige alternatieven die net zo laagdrempelig zijn.
Dit vraagt herhaling. Geen eenmalige actie. Technologie verandert te snel om dit als afgerond project te zien.
Het lek in Eindhoven had overal kunnen plaatsvinden. Ook bij organisaties die zichzelf volwassen noemen op het gebied van security en privacy. Juist daar misschien. Omdat men denkt dat de basis wel op orde is.
AI legt iets bloot wat al langer speelt. Architectuur die stopt bij techniek is onvoldoende. Wie vooruit wil kijken, moet mensen meenemen in het ontwerp.
Niet als risico. Maar als uitgangspunt.