AI maakt jou productiever. Hackers ook.
Je AI-account weet wie je collega's zijn, wanneer je op vakantie gaat en welke facturen je betaalt. Precies daarom is het goud waard voor hackers. Lees wat er kan gebeuren, en wat je eraan doet.

Stel: je krijgt een mail van Sandra, je finance-collega. Of je voor je op vakantie gaat nog even die aangepaste factuur van jullie IT-leverancier wilt betalen. De bijlage zit erbij. De toon klopt. Ze weet dat je volgende week weg bent. Ze noemt de juiste leverancier. Dus je klikt, opent het bestand, en regelt het even snel. Logisch.
Alleen: Sandra heeft die mail nooit gestuurd. Een hacker schreef hem. En alles wat het mailtje zo overtuigend maakte, dat je bijna weg bent, wie jullie IT-leverancier is, dat je finance-collega Sandra heet, kwam uit jouw eigen AI-account.
AI-tools worden razendsnel onderdeel van ons dagelijks werk. We stoppen er onze gedachten, klantgegevens en eigen data in. We koppelen ze nu aan onze mailbox, agenda en SharePoint. Maar wat zijn de risico’s, en hoe werkt dit precies?
We schreven eerder over privacy. Als wij het over privacy hebben, hebben we het over controle over je eigen informatie. In dat artikel gingen we in op wat er gebeurt met je data zodra je AI-tools gebruikt, en wat er kan gebeuren als hackers AI-modellen inzetten om organisaties aan te vallen.
Vandaag gaat het niet over privacy, maar over security: hoe veilig zijn je AI-tools eigenlijk? Wat kan een hacker met toegang tot jouw AI-account? En wat kun je vandaag doen om dat account beter te beveiligen?
Twee vrouwen die cybercrime uit de hoodie-hoek trekken
Om dat goed uit te zoeken spraken we Gina Doekhie en Jerney Gouweleeuw. Ze kennen elkaar van beveiligingsbedrijf Fox-IT, waar ze eerst collega’s werden en daarna vriendinnen. Gina is cybercrime-expert, studeerde af in Forensic Science én AI (way before it was hip and happening) en geeft inmiddels 10 jaar lezingen door het hele land met haar platform No More Cybercrime. Jerney weet als geen ander hoe je dat technische verhaal naar gewone mensen vertaalt. Allebei willen ze, als vrouwen in een mannenwereld, een ander geluid laten horen.
Hun missie lijkt verdacht veel op de onze. “Net als AI kun je cybersecurity niet meer wegzetten als iets voor techneuten,” zegt Gina. “We werken allemaal met digitale systemen en delen onze data met apps, browsers en tools. Het begint bij bewustzijn. Digitale weerbaarheid gaat over mensen en gedrag, en dat maak je onderdeel van je cultuur. Net als AI.”
Hackers op stero(AI)ds
We kennen allemaal wel de phishingmail die vroeger te herkennen was aan kromme zinnen en een rare aanhef. AI maakt bestaande aanvallen realistischer, goedkoper, sneller en op veel grotere schaal uitvoerbaar. Die phishingmail is dankzij AI nu vlekkeloos, persoonlijk en in jouw tone of voice.
De tool die jou productiever maakt, maakt de aanvaller net zo makkelijk productiever. Terug naar die hypothetische mail van ‘Sandra’. Hoe wist de aanvaller dat allemaal?
Het begint vaak klein. Jouw wachtwoord lag bij een eerder datalek op straat, bijvoorbeeld dat van Odido eerder dit jaar. En datzelfde wachtwoord gebruikte je ook voor je AI-account. Eén lek, en de deur staat open.
Eenmaal binnen leest de aanvaller mee in je chats. Daar staat verrassend veel in: dat je finance-collega Sandra heet, wie jullie IT-leverancier is, dat je over twee weken op vakantie gaat. Logisch ook, we stoppen tegenwoordig onze halve werkdag in één AI-tool.
Sinds kort koppelen we ook connectors aan tools die we dagelijks gebruiken, zodat AI nog beter voor je kan werken en meer context over jou kan ophalen: je Outlook, Calender, CRM, SharePoint, Klaviyo, ... Als de aanvaller binnen is, kan die dus ook bij die tools.
En dan is er nog een stap verder, want steeds vaker mogen die tools niet alleen meelezen, maar ook zelf handelen. Dat heet agentic AI: een AI die taken voor je uitvoert in plaats van alleen antwoord geeft. Heeft zo’n agent rechten om mails te versturen, bestanden aan te passen of CRM-gegevens te wijzigen, en krijgt een aanvaller toegang tot dat account, dan kan die dat allemaal óók.
Hoe meer rechten je een AI-tool geeft, hoe groter de impact als die binnen is. Het gaat niet alleen om Agentic AI en het uitvoeren van acties, het gaat erom dat een kwaadwillende met toegang tot jouw AI-account ook slim door al je gekoppelde data kan zoeken, en bedrijfsgegevens aan elkaar kan koppelen.
Gina is daar eerlijk over. “Connectors zijn niet per se onveilig, maar ga er bewust mee om. Geef een AI-tool alleen toegang tot wat hij echt nodig heeft, en check elke maand even welke connectors en machtigingen nog aanstaan. Dat kost je twee minuten.” Want een account met toegang tot waardevolle informatie is precies wat een crimineel zoekt.
Twee dingen die je vandaag nog regelt
Dus eigenlijk is het zo simpel als dit: zolang de hacker niet naar binnen kan, ben je veilig. Met deze 2 maatregelen til je je beveiliging vandaag al naar een beter niveau. Max 10 minuten werk. Gina en Jerney willen wel benadrukken: 100% garantie bestaat niet.
Zet multifactor-authenticatie (MFA) aan. Een multifactor-authenticatie app (bijvoorbeeld van Google of Microsoft) voegt een tweede slot toe aan je account. Naast je wachtwoord heb je dan een tweede sleutel nodig, zoals een pincode of je vingerafdruk. Het mooie: zelfs als je wachtwoord op straat ligt na een datalek, komt een aanvaller er nog niet zomaar mee binnen.
⚠️ Dit kan niet op AI-tools zoals Claude en ChatGPT. Die werken met een passwordless login (inloggen zonder wachtwoord) via een beveiligde e-maillink. Je kunt deze (nog) niet beveiligen met MFA. Dus als iemand toegang krijgt tot je e-mail, kan die persoon ook inloggen op Claude. Daarom is MFA op je e-mailaccount essentieel.Installeer een wachtwoordmanager. Dat is een digitale kluis voor al je wachtwoorden, zodat je overal een uniek wachtwoord kunt gebruiken zonder ze te onthouden. Je hebt cloud-based managers, ingebouwd in je browser (zoals Google Password Manager), als onderdeel van je systeem (zoals Apple Passwords), of als losse app (zoals Proton Pass). Liefst beveilig je die kluis óók weer met multifactor-authenticatie. Wil je alles liever zelf in de hand houden, dan kan lokaal opslaan op je eigen apparaat ook.
Twijfel je over een mail? Stuur ‘m hierheen
Nog een praktische: twijfel je of een mailtje echt is? Gina bouwde mét AI een phishing-checker. Stuur de mail door (zonder te klikken of bijlagen te openen) naar check@nomorecybercrime.nl, en je krijgt binnen 24 uur automatisch bericht of de mail veilig is of niet.
Meer her/ai?
🛠️ Kom naar onze Summer Intensive AI-course met Yeliz Çiçek van FI Business. Op vrijdag 21 augustus tussen 9-13u in Amsterdam. Kaartjes en meer informatie vind je hier.
🛠️ Of kom naar een van onze hands-on AI-workshops op woensdag 9 september (op de Warmoesstraat, achter de Bijenkorf) in Amsterdam. Voor 9 september zijn nog early bird kaartjes beschikbaar! Ga voor meer informatie naar deze pagina.
🏢 Workshop bij jouw organisatie? Mail hello@herai.work en we vertellen je graag meer!
💛 Word paid subscriber. Steun ons werk en krijg er extra’s bij: gratis 1-op-1 sessies, korting op onze workshops, maandelijkse live demos en toegang tot ons archief.





