Artificiële intelligentie bij BESIX: beleid en hoe we AI vanaf nu zullen gebruiken

Group 6 min

Beste collega's

Deze memo beschrijft hoe BESIX vanaf nu artificiële intelligentie zal gebruiken en wat dit in de praktijk betekent voor de manier waarop we allemaal werken. Het hieronder geschetste standpunt is de operationele uitbreiding van Groepsregel 5.6 (IT - Cybersecurity) en Groepsregel 5.7 (IT - Beheer van gegevens en toepassingen) naar het AI-domein. Er wordt geen nieuw kader ingevoerd, maar het past de standaarden toe die we al op BESIX Group-niveau zijn overeengekomen op een technologie die sneller evolueert dan iemand van ons kan voorzien.

Wat is er veranderd sinds januari?

In de afgelopen vier maanden waren er vier verschuivingen en samen veranderen ze wat we op het werk veilig met AI kunnen doen.

Om te beginnen hebben we Anthropic en Microsoft Cowork Agents. Dit zijn geen chatassistenten. Het zijn agents die in jouw naam handelingen kunnen doen, zoals browsers openen, inloggen op systemen, bestanden verplaatsen en berichten versturen. Google, OpenAI en xAi hebben al gelijkaardige toepassingen uitgebracht of aangekondigd.

Ten tweede is ontdekt dat een open source agent die oorspronkelijk Moltbot heette, daarna ClawdBot en nu OpenClaw, gebruikersgegevens in platte tekst opslaat en die via prompt injection manipuleert om de data te exfiltreren. Het is gratis te downloaden en er circuleren al verschillende varianten binnen BESIX.

Ten derde kwam uit een sectorenquête bij 4.200 werknemers naar voren dat 57% van hen persoonlijke AI-accounts gebruikt voor werktaken en dat 33% van hen vertrouwelijke of gereguleerde gegevens in die accounts heeft geplakt. Er is geen reden om aan te nemen dat BESIX een uitzondering is.

Ten vierde, heeft het zogenaamde 'vibe coding', BESIX bereikt. Collega's zonder formele achtergrond in programmeren gebruiken AI om kleine toepassingen, dashboards en scripts samen te stellen die reële problemen in hun projecten of binnen afdelingen oplossen. Wij juichen deze creativiteit toe en we hebben al echt nuttige resultaten gezien. Het neveneffect is echter dat we software verzamelen waar niemand in ICT weet van heeft, op hosting die we niet hebben gekozen, met gegevens die we niet kunnen traceren en zonder duidelijke eigenaar zodra de persoon die het programma heeft opgezet het bedrijf verlaat. We hebben een geleide route nodig waarop we in alle veiligheid deze energie kunnen doorzetten.

De vier dingen waarover ik me zorgen maak

Ik wil duidelijk zijn over wat ik denk dat het risico is, want de technische woordenschat verdoezelt het.

Wie er handelt. Als een AI-agent zich in jouw naam bij een systeem aanmeldt, laat het controlespoor de mens zien, niet de agent. Als er iets fout gaat, zoals een betaling, een contractwijziging, een verwijdering, kunnen we niet zeggen wie of wat die heeft gedaan.
Wat het kan doen. Moderne agents kunnen bestanden openen, e-mails versturen, geld verplaatsen en communiceren met onze leveranciers en klanten. De impact van één enkele slechte instructie is veel groter dan vroeger bij een chatbot die alleen tekst produceerde.
Wat het onthoudt. Alles wat je in een persoonlijk AI-account invoert, kan worden bewaard, gebruikt of blootgelegd bij een toekomstige inbreuk van die aanbieder. Zodra het ons bereik verlaat, kunnen we het niet meer terugnemen.
Waar de code vandaan komt. In slechts een paar weken worden open source AI-projecten gepubliceerd, achtergelaten, afgesplitst en hernoemd. OpenClaw is een waarschuwing, geen uitzondering. Alles wat we gebruiken zonder grondige beoordeling is iets waar we niet voor kunnen instaan.

Deze vier risico's komen rechtstreeks overeen met verplichtingen die we al zijn aangegaan onder GR 5.6 (vertrouwelijkheid, integriteit, beschikbaarheid van informatie; verplichte monitoring en auditing; reactie op incidenten) en GR 5.7 (benoemde eigenaren van gegevens en toepassingen; beoordeelde grensoverschrijdende gegevensstromen). Het AI-beleid geeft ons de middelen om die engagementen na te komen in een domein dat nog niet bestond toen de regels werden opgesteld.

Wat we zullen implementeren

De volgende maatregelen zullen binnen de BESIX Group onder mijn verantwoordelijkheid als CIO worden ingevoerd, in lijn met GR 5.6 en GR 5.7.

Eén goedgekeurd AI-platform. Microsoft 365 Copilot, dat binnen de BESIX-tenant werkt, wordt de standaard AI-tool voor alle werknemers. Gegevens blijven onder onze bestaande verplichtingen voor gegevensbescherming van Microsoft.
Technische blokkering van niet-goedgekeurde AI-platforms. ICT zet technologie in om te voorkomen dat BESIX-apparaten en -netwerken toegang hebben tot niet-goedgekeurde AI-diensten, waaronder gratis publieke chatbots, frameworks voor open source agents en computergestuurde agents. De blokkeerlijst zal voortdurend worden herzien naarmate de markt evolueert. Uitzonderingen gaan via de Application Governance Board.
BESIX-gegevens blijven op apparaten beheerd door BESIX. Het gebruik van BESIX-gegevens in een AI-tool, ook op het goedgekeurde platform, is beperkt tot beheerde apparaten die aan onze beveiligingsbaseline voldoen. Persoonlijke apparaten en persoonlijke accounts zijn niet toegestaan. BESIX-gegevens krijgen een beveiligingslabel om dit technisch af te dwingen, in lijn met GR 5.6.
Een benoemde eigenaar voor elke AI-gegenereerde toepassing, in overeenstemming met het principe van de applicatie-eigenaar in GR 5.7, met een gegevensclassificatie, een hostingbeslissing en een gedocumenteerde reviewcyclus.
Een amnestie van 60 dagen waarin elk team zonder gevolgen een AI-tool of een door AI gebouwde toepassing kan registreren, zodat we een volledige inventaris kunnen opstellen. Na de amnestieperiode wordt niet-aangegeven gebruik behandeld als een inbreuk op het beveiligingsbeleid volgens het standaardproces in GR 5.6.
Bewustmaking en verplichte opleiding voor alle werknemers en relevante externe dienstverleners, waarbij de verplichtingen op het gebied van cyberbewustzijn die al zijn opgenomen in GR 5.6 worden uitgebreid met risico's die eigen zijn aan AI.
Reactie op incidenten. AI-gerelateerde incidenten worden afgehandeld volgens het bestaande Incident Response Plan onder GR 5.6, aangevuld met draaiboeken specifiek voor AI.

Wat dit in de praktijk voor jou betekent

Gebruik Microsoft 365 Copilot voor dagelijkse AI-taken: voorbereiden, samenvatten, zoeken, analyseren. Het is al beschikbaar in de BESIX-tenant.
Plak geen BESIX-gegevens in je persoonlijke AI-accounts, zoals ChatGPT, Gemini, Claude, of een andere openbaar toegankelijke dienst. Hieronder vallen contracten, tekeningen, financiële gegevens, personeelsgegevens, correspondentie met klanten en code.
Installeer geen AI-agents of browserextensies van openbare bronnen op je werktoestel zonder de AI Review Board te raadplegen.
Als je al een AI-tool gebruikt of iets met AI hebt gebouwd, meld dit dan via de IT Helpdesk tijdens de 60 dagen amnestie. Geen vragen, geen gevolgen.
Als je niet zeker bent, vraag het dan na. Je ICT-contactpersoon, je manager of de Application Governance Board kunnen je hier kort uitleg over geven.
Lees de BESIX AI-richtlijn v1.0 op het Groep intranet. De zeven regels, de voorbeelden van wat wel en niet is toegestaan, en de regels voor AI-ondersteunde ontwikkeling vormen de bindende referentie wanneer deze memo geen uitsluitsel geeft over een specifiek geval.

Tijdlijn

Vandaag: deze memo wordt naar elke werknemer doorgestuurd.
Vandaag: beleid en ondersteunende documentatie gepubliceerd op het Groep intranet.
31 mei: amnestieperiode start en inventarisatie begint; de eerste golf van technische controles gaat live.
Eind juni: AI Review Board operationeel, eerste beoordelingscyclus voltooid, volledige handhaving.

Besluit

BESIX heeft al een duidelijke standaard voor hoe we omgaan met informatiemiddelen, wie de eigenaar is van toepassingen en hoe we reageren als er iets misgaat. Die standaard is GR 5.6 en GR 5.7. Het AI-beleid past deze toe op een categorie van tools die nog niet bestond toen de Groepsregels voor het laatst werden herzien. Dit alles is niet bedoeld om je af te remmen. Het is bedoeld om je een veilige, geregelde en geschikte AI-omgeving te bieden, zodat je deze tools met een gerust hart kunt gebruiken en het vertrouwen dat onze klanten in BESIX stellen behouden blijft.

Bedankt dat je de tijd hebt genomen om dit te lezen en om deze regels met veel zorg in de praktijk te brengen.

Met vriendelijke groeten,

Werner Godaert
Chief Information Officer
BESIX Group

Gerelateerde artikels

Me@BESIX me@BELEMCO Me@SixConstruct Me@Socogetra Me@Vanhout Me@BESIX Infra Me@Cobelba Me@JacquesDelens Me@FrankiFoundations Group Me@Vandenberg 1 min

Halfjaarbericht: Op naar beter

Lore De Jonge

Me@BESIX me@BELEMCO Me@SixConstruct Me@Socogetra Me@Vanhout Me@BESIX Infra Me@Cobelba Me@JacquesDelens Me@FrankiFoundations Group Me@Vandenberg 2 min

4 foto’s om op de hoogte te blijven van het laatste nieuws (28/09)

Florence Bribosia