AI-beleid, Copilot en Cybersecurity in een HR dienstengroep (Group S)
Een IT-afdeling die technisch nooit faalde, maar intussen wel ver achterop geraakt was. Dat is het eerlijke vertrekpunt van Koen Van Loo, Chief Information & Digital Officer bij Group S. In deze aflevering van 52 Topics spreekt hij met host Kevin over hoe je een HR dienstengroep digitaal heruit vindt, zonder de innovatie te wurgen en zonder de controle te verliezen.
Snelle links 🔗:
Een slapende IT, maar niet een slechte IT
Group S bestaat al tientallen jaren. Als HR dienstengroep moest de IT-afdeling elke maand mee met nieuwe wetgeving, nieuwe software, nieuwe vereisten. Dat gebeurde ook. Alleen werd er weinig geïnvesteerd in vernieuwende technologie.
Microsoft Dynamics 365 is het businessapplicatieplatform van Microsoft. Dynamics 365 bevat bedrijfssoftware in de vorm van applicaties in de cloud. Deze apps zijn gebaseerd op ERP en CRM en integreren naadloos met tools zoals Power BI en Office 365.
Enkele voorbeelden hoe Dynamics 365 een meerwaarde biedt binnen Microsoft Teams:
"Mijn carrière bestaat er een beetje uit van slapende IT-afdelingen terug wakker te maken."
Koen noemt het zelf: een performante, maar ingeslapen organisatie. De missie die hij meekreeg onder de noemer Sunrise? Die mooie oude dame terug levendig maken, met een toekomst.
De uitdaging daarbij is specifiek voor een organisatie zoals Group S: bijna alles wordt intern gebouwd. Een payrollpakket koop je niet op de markt. Dat betekent een team van 150 ontwikkelaars, op een totaal van zo’n 700 medewerkers. Enkel standaardsystemen zoals CRM, ERP en Office-tools worden extern aangekocht. Alles daartussenin: maatwerk.
Microsoft First: bewuste keuze, bewust risico
Na een grondige architectuurstudie koos Group S voor een Microsoft First-aanpak. Niet exclusief, want onafhankelijkheid blijft een prioriteit. Maar als er een Microsoft-oplossing bestaat die betaalbaar en functioneel is, dan gaat de voorkeur daarnaar.
Koen is transparant over de keerzijde: vendor lock-in is een reëel risico. Je maakt je afhankelijk van één speler en diens roadmap. Het antwoord van Group S is niet dat risico ontkennen, maar ermee omgaan. Bewust. Gedisciplineerd.
De waarde die een geïntegreerde stack oplevert, weegt voor hen zwaarder dan de nadelen van versnippering. En voor thema’s zoals AI, beveiliging en compliance heeft een coherent platform concrete voordelen die moeilijk te evenaren zijn met losse best-of-breed-keuzes.
Shadow AI aanpakken zonder innovatie te doden
Group S ontdekte via logging dat medewerkers zo’n 20 tot 25 verschillende AI-tools gebruikten. Sommige waren aanvaardbaar. Andere absoluut niet.
De reactie was geen totale blokkade. Want dat werkt niet. Wie ChatGPT blokkeert op het werk, gebruikt het thuis. Of op de gsm. Of copy-pasteert resultaten uit een privébrowser. Je kunt data niet volledig afschermen door de poort dicht te houden.
"Je kunt niet absoluut gaan blokkeren. Als je teveel blokkeert, zoeken mensen alleen maar meer naar alternatieven."
De aanpak van Group S is genuanceerder. Via Microsoft Defender wordt een lijst van goedgekeurde applicaties gehandhaafd. Wie naar een niet-goedgekeurde tool navigeert, krijgt een uitlegpagina te zien. Wil je toch doorklikken? Dat kan, op eigen risico. En ja, het wordt gelogd.
Op het intranet staat alle informatie over waarom bepaalde tools niet worden aanbevolen en hoe je een tool officieel kunt aanvragen. Wil een team iets structureel gebruiken? Dan voert IT een due diligence uit. Goedkeuring volgt als er goede redenen zijn. Zo blijft innovatie mogelijk zonder blinde vlekken.
Drie bouwstenen van een werkbaar Shadow AI-beleid
Zichtbaarheid
Log welke tools medewerkers gebruiken. Niet om te straffen, maar om te begrijpen. Je kunt niets aanpakken wat je niet ziet.
Transparantie
Leg uit waarom bepaalde tools niet zijn toegestaan. Een uitlegpagina werkt beter dan een blinde blokkade. Mensen die begrijpen waarom, volgen makkelijker.
Een aanvraagproces
Geef medewerkers een weg naar goedkeuring. Wie een tool echt nodig heeft, kan dat formeel aanvragen. Zo wordt IT een facilitator in plaats van een bewaker.
Copilot in de praktijk: licenties, gebruik en een coördinator
Group S is actief bezig met de uitrol van Microsoft Copilot, inclusief een toegewijde copilot-coördinator die medewerkers begeleidt in wat ze ermee kunnen doen. Maar de uitrol is niet onbeperkt.
Het patroon is bekend: iemand wil experimenteren, krijgt een licentie, en twee maanden later is er weinig van terechtgekomen. Koen heeft dat mechanisme actief omgedraaid: wie een licentie krijgt en er niets mee doet, verliest ze. Licentiekosten zijn reëel, en verantwoording ook.
Voor ontwikkelaars wordt GitHub Copilot ingezet om de ontwikkelcyclus te ondersteunen. Prototypes, vibe coding, documentatietaken. Maar in de productiepijplijn wordt het nog niet losgelaten. Daarvoor worden eerst de nodige guardrails gebouwd.
Koen zelf is een intensieve gebruiker. Hij werkt professioneel volledig op Copilot en maakt thuis gebruik van Gemini om de twee te vergelijken. Zijn conclusie: geen van de twee is duidelijk beter. Ze vullen elkaar aan, afhankelijk van de taak.
Digital sovereignty: van gesprek naar aankoopbeleid
Group S heeft vandaag geen actief migratieprogramma weg van Amerikaanse platformen. Maar de vraag staat wel op de radar, aangedreven door klanten die meer en meer eisen stellen aan datalokaliteit en soevereiniteit.
Wat Group S wél concreet doet: bij nieuwe aankopen, als er een gelijkwaardig Europees alternatief bestaat, gaat de voorkeur daarnaar. Geen grote beleidsstudie, geen taskforce. Gewoon een koopprincipe dat stilaan zijn weg vindt in beslissingen.
"Als we de keuze hebben tussen een gelijkwaardig Europees en Amerikaans alternatief, kiezen we voor het Europese of het lokale initiatief."
Koen is zelf actief in beroepsverenigingen zoals Beltug en CxO Net, waar digital sovereignty een terugkerend gespreksonderwerp is. Hij gelooft dat de spanning tussen Europa en de VS op termijn een positief effect kan hebben op Europese digitale innovatie, ook al is er vandaag nog geen eenduidig antwoord op welke kant het opgaat.
Hij gaat zelfs zo ver dat hij privé begint te experimenteren met Europese alternatieven voor tools die hij al jaren bij Amerikaanse aanbieders gebruikt. Niet als statement, maar uit nieuwsgierigheid en groeiende voorzichtigheid.
Cybersecurity bij een HR dienstengroep: nooit genoeg
Group S verwerkt loongegevens voor tienduizenden werknemers. Na medische dossiers is salarisinformatie wellicht de gevoeligste persoonsdata die er bestaat. Een hack is dus geen abstracte dreiging; het is een existentieel risico.
Koen is realistisch: elke organisatie is hackbaar. Als iemand er echt in wil, met voldoende tijd en middelen, dan lukt dat. De vraag is niet of je 100% veilig bent. De vraag is hoeveel een aanvaller ervoor over heeft, en hoe snel je het ziet.
Group S werkt met een gelaagde beveiligingsaanpak: meerdere beveiligingsschillen rond de kern, een eigen SOC (Security Operations Center) dat continu monitort, en een intern team waarvan cybersecurity het dagelijkse leven is.
De SOC heeft al situaties gevangen die vroeger volledig onopgemerkt waren gebleven. Dat heeft meetbare waarde.
Wat Koen bijzonder zorgen baart voor de toekomst: AI-gedreven aanvallen die sneller, slimmer en moeilijker te onderscheiden worden, én de nakende komst van quantum computing die bestaande encryptie kan breken. Inclusief data die vandaag versleuteld is opgeslagen.
AI en kritisch denken: een feit, geen risico
Koen zag het zelf al in zijn organisatie: presentaties die overduidelijk door generatieve AI gemaakt werden, maar waarbij de maker het inhoudelijke niet kon verdedigen als er doorgevraagd werd.
Zijn analyse is nuchter: dit is geen toekomstig risico. Het is al een feit. Mensen verspreiden dingen waarvan ze de inhoud niet begrijpen, vertrouwend op de output van een tool die soms zelfverzekerd maar incorrect is.
"Het is geen risico. Het is gewoon een feit. Je ziet vandaag mensen dingen verspreiden waarvan ze eigenlijk niet weten wat ze zeggen."
Zijn antwoord is niet minder AI gebruiken, maar slimmer. Hij voegde aan zijn eigen AI-instructies toe dat het systeem zijn eigen antwoorden kritisch moet toetsen aan de realiteit. Zijn ervaring: de output wordt er meteen kwalitatief beter van.
Hij geeft ook aan dat hij AI gebruikt voor LinkedIn-posts, maar altijd op basis van eigen notities en altijd met eigen editing daarna. De inhoud komt van hem. De formulering wordt verfijnd. Dat onderscheid vindt hij fundamenteel.
Zijn vergelijking met China is veelzeggend: aan de Beijing University worden studenten gestimuleerd om met AI te werken, op voorwaarde dat de inhoudelijke kennis van henzelf komt. In Europa, en zeker in Vlaamse onderwijsinstellingen, wordt AI nog te vaak als probleem gezien in plaats van als gereedschap dat kritisch denken vereist.
Wil je ook grip krijgen op AI-gebruik in je organisatie?
Van Shadow AI-beleid tot Copilot-uitrol: ConXioN helpt je bij het opzetten van een AI-strategie die werkt voor jouw team. Pragmatisch, concreet en afgestemd op jouw sector.