Triagen legt uit: Hoeveel AI je traject écht kan versnellen

Er bestaat namelijk in de markt een hardnekkig beeld dat AI compliance op termijn overbodig maakt. Geef het systeem genoeg toegang en het regelt je ISO 27001 of SOC 2 wel, zo luidt de gedachte. Dat beeld klopt niet. Compliance draait om verantwoordelijkheid, om aantoonbaar beheer van risico's en om keuzes die passen bij jouw organisatie. Een model dat patronen herkent en leest, kan die verantwoordelijkheid niet dragen.

Maar AI links laten liggen is net zo onverstandig. De winst zit in het werk dat veel handen kost en weinig oordeel vraagt: een beleidsstuk vergelijken met een configuratie, taken aanmaken op basis van auditbevindingen, de status van openstaande risico's samenvatten. Daar is AI sterk in. De inhoudelijke beslissing blijft bij de mens, het uitvoerende werk gaat efficiënter via AI.

In dit artikel laten we zien hoe dat er in de praktijk uit kan zien op compliance gebied. We beginnen bij het Model Context Protocol (MCP), de techniek die het mogelijk maakt, en zoomen daarna in op Triagen die er dagelijks mee werkt.

Wat AI via het Model Context Protocol (MCP) mogelijk maakt

Het Model Context Protocol (MCP) is een open standaard die AI-assistenten in staat stelt om via een gestandaardiseerde API acties uit te voeren in externe platforms zoals Tidal Control. Kortweg: MCP is de technische brug waarmee AI-assistenten zoals Claude of ChatGPT verbinding maken met een platform zoals Tidal Control en daar acties kunnen uitvoeren. Binnen Tidal Control koppel je je AI-tool aan je tenant en geef je opdrachten in gewone taal. De assistent doorzoekt bijvoorbeeld je compliance data, maakt of werkt zaken bij, legt verbanden tussen entiteiten, en vat KPI's samen.

Eerst zou je in Tidal de policy erbij pakken, lezen, aanpassen, kopiëren, plakken, van het ene scherm naar het andere. Nu zeg ik gewoon: leg de encryptie-policy naast onze infrastructuur, en de MCP past het automatisch voor me aan. Dat werkt mega goed.

Stefan

CTO | Triagen

Je bestaande rechten blijven daarbij gewoon gelden. Heb je alleen leesrechten in het portaal, dan kan de assistent via MCP ook alleen lezen. De verbinding loopt onder jouw identiteit, nadat je eenmalig via je browser hebt ingelogd. De AI krijgt dus nooit meer macht dan jij zelf hebt.

De reikwijdte is breed. Je stelt vragen als "welke van mijn kritieke risico's hebben geen controls gekoppeld" of "laat alle leveranciers zien met een verlopen beoordeling". Je voert bulkacties uit, bijvoorbeeld meerdere assets of controls in een prompt aan je lijst of plans toevoegen, zoals een "kwartaalreview". Daarnaast kun je de MCP documenten en beleidsstukken op betekenis laten doorzoeken. Ook kun je gemakkelijk koppelingen van controls aan risico's en assets laten maken. De assistent kent je context, dus een vraag als "wat staat er volgende week voor mij gepland" werkt zonder dat je namen of data hoeft uit te spellen.

Praktijkcase: hoe Triagen de MCP inzet

Triagen bouwt AI-gestuurde triage- en intakesoftware voor arbodiensten en bedrijfsartsen, waarmee ze intakes van werknemers automatiseren en gestructureerde dossiers opbouwen. Ze zijn een health-tech start-up die samen met Tidal Control en Fendix toewerkt naar certificering voor ISO 27001 en NEN 7510. Dat die laatste norm meedoet is logisch: NEN 7510 gaat over informatiebeveiliging in de zorg, en Triagen werkt met gezondheidsgegevens. Het is een klein, snel team, en juist daar telt elke bespaarde minuut. Stefan Samba, co-founder en CTO, codeert vrijwel de hele dag en gebruikt de MCP-koppeling rechtstreeks vanuit zijn code-editor. Hij praat dan met Claude Cowork zoals in de afbeelding hieronder.

Stefan deelde dat zijn eerste toepassing draait om beleid afstemmen op de werkelijkheid. Triagen werkt met een monorepo, waarin ook de infrastructuur staat beschreven. Dit is een softwarestrategie waarbij de broncode van meerdere, vaak onafhankelijke projecten (microservices, frontend en backend) in één centrale opslagplaats (repository) wordt bewaard.

Voorheen betekende een policy controleren: het beleidsstuk in Tidal opzoeken, de passage lezen, in de code kijken, en het resultaat handmatig terugschrijven. Nu geeft Stefan één opdracht: leg deze encryptie-policy naast onze infrastructuur. De assistent leest het beleidssjabloon, zoekt in de code naar de encryptie-instellingen, vindt daar bijvoorbeeld TLS 1.3, en past de policy daarop aan met zijn goedkeuring. Het oordeel blijft bij Stefan, het zoekwerk gaat van minuten naar seconden.

Taken toevoegen zonder administratieve omweg

Zijn tweede toepassing is alledaagser, en juist daarom waardevol.

Wie de hele dag bouwt, krijgt voortdurend losse gedachten: een bedrijfsmiddel of leverancier die nog ontbreekt. Vroeger verdween zo'n taak in Jira en op de backlog. Nu prompt ik mijn AI-tool: voeg ze toe in Tidal Control. In 10 seconden gedaan, en beoordelen doe ik later in één keer. Stukken efficiënter.

Naam

Functie | Bedrijf

En Stefan kijkt al verder. Compliance is geen eenmalig traject maar een terugkerende cyclus, met audits en controles die elk jaar opnieuw langskomen. De MCP kan dus tijdens de PDCA-cyclus jaarlijks goed blijven assisteren, en maakt het onderhoudswerk nóg efficiënter dan Tidal zelf al doet. Voor groeiende start-ups, scale-ups en zelfs grotere organisaties met compliance teams zal het vast herkenbaar zijn hoe compliance bijhouden precies wrijft op de plekken waar je nét het minst tijd voor hebt. De MCP is dan een mooie efficiëntie booster.

De consultant werkt ook efficiënter

De winst blijft niet bij de klant. Fendix doet samen met Tidal implementaties bij een groeiend aantal klanten en neemt de MCP-werkwijze mee. Voor een consultant die meerdere organisaties tegelijk begeleidt, scheelt het veel om gericht vragen te kunnen stellen, in plaats van handmatig door verschillende klant tenants (omgevingen) te navigeren.

Dat wordt concreet bij het werk dat normaal de meeste tijd opslokt: bewijslast verzamelen. In plaats van met de hand bestanden bij elkaar te zoeken voor een kwartaalcontrole, volstaat een prompt als "verzamel alle incidenten van Q2 en vat de openstaande actiepunten samen voor de directie". Of, bij een interne audit: "maak taken aan voor alle non-conformities uit de laatste audit en wijs ze in Tidal toe aan de juiste systeemeigenaren". Het samenstellen en koppelen gebeurt in één opdracht, terwijl de consultant beoordeelt of het klopt.

Ook het afstemmen van beleid op de specifieke situatie van een klant gaat sneller. Een vraag als "herschrijf dit wachtwoordbeleid zodat het aansluit op de huidige Entra ID-configuratie" levert een eerste versie die de consultant alleen nog hoeft aan te scherpen, in plaats van vanaf nul te schrijven. De consultant houdt zo de regie en bewaakt de kwaliteit, terwijl het uitvoerende deel sneller verloopt. Zo verschuift de tijd van administratie naar advies en begeleiding, en dat is precies waar een klant een consultant voor inhuurt.

Veilig omgaan met een AI-assistent

De MCP-koppeling van Tidal Control is veilig omdat de AI-assistent uitsluitend handelt binnen de bestaande gebruikersrechten van de ingelogde medewerker. Toch vraagt een AI-assistent in je compliance-omgeving om bewuste keuzes. De belangrijkste waarborg zit al in de techniek: doordat je bestaande rechten meegelden via MCP, kan een assistent nooit meer dan jij zelf mag. Een leesgebruiker blijft een leesgebruiker.

Geef je AI-tool alleen de toegang die nodig is. Controleer bij je aanbieder of je data gebruikt wordt om modellen te trainen en zet die instelling bewust uit. Houdt er rekening mee dat data bij een niet-lokale assistent naar de aanbieder gaat, dus weeg af welke gevoeligheid je toelaat. Dezelfde principes van toegangsbeheer en gegevensbescherming die je elders al toepast, gelden ook hier.

AI omarmen, niet uitbesteden

Tidal Control is een GRC-automation platform dat fungeert als één centrale bron van waarheid voor je compliance. De MCP-koppeling legt daar een conversatielaag overheen, beschikbaar voor onder andere Claude Desktop, Claude Code, Codex en ChatGPT.

De praktijk van Triagen.ai in combinatie met consultancy van Fendix laat zien waar AI in Tidal op zijn best is. Niet als vervanger van het oordeel dat compliance vraagt, maar als versneller van het werk eromheen. Wie AI op die manier omarmt, wordt sneller compliant en blijft het ook, terwijl de mens aan het stuur blijft. Dat is een gezondere belofte dan automatisering die mensen wegsnijdt, en het is er een die in de praktijk standhoudt.

Wil je zien hoe de MCP-koppeling werkt voor jouw compliance? Plan een demo of meld je aan voor een free trial op onze homepagina, en test het uit.