AFAS is een open platform. Dat betekent dat je je data kunt koppelen aan andere systemen, waaronder AI-oplossingen. AI vergroot wat mogelijk is. Maar ook wat mis kan gaan.
Werk je met AI-integraties? Dan is het essentieel dat je bewust omgaat met toegang, tokens en partijen waarmee je samenwerkt. Op deze themapagina vind je meer informatie over het onderwerp en hoe je veilig kunt omgaan met de kansen die AI biedt.
Gebruik deze pagina als richting, niet als juridisch advies. Check voor jouw situatie altijd de actuele regels of vraag een specialist om hulp.
Als AFAS de motor achter de administratie is in jouw organisatie, dan werkt AI als een turbo hierop. Waar je eerder handmatig werkte, kan AI in seconden grote hoeveelheden data verwerken en combineren. Dat betekent dat je sneller inzichten haalt uit je data en waarde haalt uit het systeem. Alleen: door de snelheid en de kracht van de technologie maak je ook sneller fouten en is de impact hiervan potentieel veel groter.
Wat vroeger een lokaal probleem was, kan nu organisatiebreed effect hebben. En zelfs ervoor zorgen dat jouw organisatiegegevens op straat komen te liggen. Denk nog eens aan die turbo in je motor. Als die te hard gaat blazen en niet is afgestemd op jouw motor, dan komen er uiteindelijk ongelukken van met desastreuze gevolgen.
Met de opkomst van AI zijn er bijna evenveel zelfverklaarde AI-experts online te vinden als dat er bondscoaches zijn voor het Nederlands elftal. Helaas is bij velen niet te achterhalen wat het kennisniveau is en hoe de integratie is opgebouwd. Dat leidt tot onbetrouwbare oplossingen. Wees dus extreem voorzichtig als je ervoor wil zorgen dat data veilig blijft.
Helaas is er recent een opkomst te zien van onbetrouwbare en niet-gecertificeerde AI-integraties (zoals MCP-servers en AI-agents) die zich presenteren als een “AFAS-oplossing”. Deze integraties zijn ongetest en brengen een zeer hoog risico met zich mee. Ze kunnen bijvoorbeeld data wijzigen, maar doen dit niet op de goede manier. Dit kan niet zomaar worden teruggedraaid. Omdat je data-integriteit in gevaar is, raadt AFAS niet-gecertificeerde oplossingen dus sterk af.
Belangrijk om te weten: AFAS certificeert koppelingen en integraties. Niet de volledige onderliggende AI-oplossing van een externe partij. Zegt een partij dat hun AI-oplossing “gecertificeerd door AFAS” is? Controleer dan goed wat daarmee wordt bedoeld. Een gecertificeerde koppeling betekent niet automatisch dat alles wat daarachter gebeurt ook door AFAS is getest of goedgekeurd.
Internationale voorbeelden laten zien dat datalekken en misbruik van toegang grote gevolgen kunnen hebben. AI vergroot die risico’s. We kiezen ervoor om hierover open te zijn en klanten actief te waarschuwen. Niet om te beperken (we hóuden van innovatie!), maar om problemen voor te zijn en de bewustwording te vergroten.
Toegang tot je AFAS-omgeving regel je via tokens of OAuth. Een token is als een digitale sleutel. Wie toegang heeft, kan:
Bij AI-integraties deel je deze toegang vaak zonder het te beseffen. Iemand gebruikt een bestaand token of OAuth-sessie 'even' voor een AI-koppeling. Daarmee geef je continu en automatisch toegang weg. Dat risico is groter dan bij gewone integraties.
Het is alsof je de sleutels van je huis én de codes van je alarminstallatie volledig in handen van een onbekende legt.
De EU AI Act is de Europese wet voor AI. De wet werkt met risicoklassen. Hoe groter het risico voor mensen, hoe strenger de eisen. Denk bijvoorbeeld aan AI bij recruitment, beoordeling of besluitvorming.
Gebruik je AI in je organisatie? Dan heb je vaak zelf ook verplichtingen. De leverancier van de AI-oplossing heeft die ook, maar dat betekent niet dat jij achterover kunt leunen. De wet gaat stap voor stap in. 2 augustus 2026 is daarbij een belangrijke datum. Sommige onderdelen schuiven nog op, dus check altijd de actuele stand.
Let hierop:
Verwerkt een AI-integratie persoonsgegevens? Dan geldt de AVG. Een AI-koppeling stuurt data soms naar een andere partij. Soms zelfs zonder dat je precies ziet wat er gebeurt.
Veel AI-tools onthouden bovendien wat je invoert. Ze bouwen context op, bewaren invoer of gebruiken gegevens om betere antwoorden te geven. Voer je persoonsgegevens in? Dan kunnen die gegevens terechtkomen bij de leverancier van de AI-oplossing.
Heb je daar geen goede afspraken over gemaakt? Dan loop je het risico dat je persoonsgegevens deelt zonder geldige grondslag. En in sommige gevallen kan dat een datalek zijn.
Let hierop:
Soevereiniteit gaat over grip op je eigen data. Waar staat je data? Waar wordt die verwerkt? En welke wetgeving geldt daar?
Gebruik je een AI-oplossing buiten de EU? Dan kunnen andere regels gelden. In sommige situaties kunnen buitenlandse overheden toegang krijgen tot gegevens. Ook is niet altijd duidelijk welk AI-model wordt gebruikt en of jouw data wordt gebruikt om het model verder te trainen. Dat hoeft niet altijd een probleem te zijn, maar je moet het wel weten voordat je toegang geeft.
Let hierop:
Met AI kan één verkeerde instelling grote gevolgen hebben voor je AFAS-omgeving. In de praktijk zien we regelmatig dat:
Let ook op data-integriteit. AI kan data razendsnel verwerken, maar ook razendsnel verkeerd aanpassen. En dat draai je niet altijd zomaar terug.
Let hierop:
NIS2 is Europese wetgeving voor cyberveiligheid. In Nederland wordt dit omgezet in de Cyberbeveiligingswet. Deze wet geldt niet voor iedere organisatie, maar wel voor organisaties in belangrijke en essentiële sectoren.
Valt jouw organisatie hieronder? Dan stel je niet alleen eisen aan je eigen digitale veiligheid, maar ook aan de veiligheid van leveranciers en koppelingen. Een AI-integratie hoort dus bij die keten.
Let hierop:
AFAS is bezig met AI-functionaliteit voor recruitment. Dat gebied valt onder strengere regels volgens de AI-act. Wij moeten dus aan extra eisen voldoen en implementeren extra controles.
Een willekeurige externe AI-app die cv’s analyseert, heeft vaak die extra controles en voorzieningen niet en kan dus tot grotere juridische en compliance-risico’s leiden voor jullie als AFAS-klant.
AFAS is een open platform; we willen dat de data voor jou toegankelijk blijft, ook in andere applicaties. Maar we hebben wel duidelijke kaders .
We waken graag, samen met jouw organisatie, over de risico’s van data-uitwisseling. Zeker omdat de huidige mogelijkheden het mogelijk maken om data te ontsluiten zonder technische kennis en zonder zicht op de risico’s.
Daarom is onze lijn helder:
Integraties zoals een “MCP-server” of “AI-agent” die als “AFAS-oplossing” worden gepresenteerd, moeten dus gecertificeerd zijn. Als een integratie niet gecertificeerd is door AFAS, dan raden wij het gebruik hiervan sterk af. AFAS kan dan op geen enkele wijze controleren wat er met de data gebeurt. Het gebruik hiervan is dus volledig voor eigen risico.
Gecertificeerde AFAS Partners volgen de procedure waarbij integraties eerst door AFAS gecertificeerd worden voordat ze in gebruik worden genomen. Alleen dan mogen zij zich als een AFAS-oplossing presenteren.
Op het moment van publicatie (maart 2026) is er geen AI-integratie met AFAS gecertificeerd en bestaat er dus niet iets als een "AFAS-oplossing". Ook niet door AFAS Partners. Het gebruik van een AI-integratie (zoals een MCP-server of een AI-agent) die zegt met AFAS geïntegreerd te zijn, is volledig ongecontroleerd en dus met grote risico's.
Let op: er is een verschil tussen een gecertificeerde dienstverlenende partner en een gecertificeerde productpartner. Alleen de laatste categorie kan een integratie laten certificeren. Een gecertificeerde productpartner kan een gecertificeerde koppeling hebben met AFAS, maar dat zegt niet iets over een AI-integratie. Op het moment van publicatie (juni 2026) is er nog geen AI-integratie gecertificeerd.
Organisaties die zich mogelijk onterecht als AFAS-partner presenteren, vind je op de AFAS Partner Piratenpagina.
Richt een systeem in waarbij beslissingen over het aanzetten van een AI-integratie op het hoogste niveau in jouw organisatie worden goedgekeurd. Dit zorgt ervoor dat er binnen jouw organisatie met de juiste besluitvorming wordt overgegaan tot het gebruiken van een AI-integratie.
Beperk rechten tot wat echt nodig is en houd inzicht in wie toegang heeft en waarom.
In elke update van AFAS wordt er standaard AI-functionaliteit uitgeleverd. Denk hierbij aan:
Het doel hierbij is om klanten maximaal te laten profiteren van AI binnen AFAS, zonder externe afhankelijkheden, zodat er geen extra abonnementskosten betaald hoeven te worden en er geen extra risico's worden gelopen.
Op dit moment worden de mogelijkheden onderzocht om een officiële AFAS MCP-server aan te bieden, of een speciaal type connector waarmee externe AI-integraties kunnen verbinden. Dit past binnen onze visie van AFAS als een open platform.
AFAS werkt verder in de software aan manieren om je te helpen en de bewustwording te vergroten. We werken op dit moment aan:
Controleer of deze gecertificeerd is of neem contact op met de systemintegrators van AFAS.