Waarschuwing voor personeel dat met AI bezig is: 'Kans op datalek is groot'
Organisaties moeten serieus aan de slag met hun AI-beleid. Dat zegt Remco van der Schoot, AI-onderzoeker aan de Hogeschool Utrecht, naar aanleiding van onder meer het datalek bij de gemeente Eindhoven vorig jaar.
Uit een steekproef destijds bleek dat medewerkers van de gemeente Eindhoven in één maand tijd meer dan duizend documenten met persoonsgegevens naar externe AI-tools hadden geüpload.
De gemeente heeft dit gemeld bij de Autoriteit Persoonsgegevens en al het gebruik van openbare AI-modellen voor werknemers geblokkeerd. Ook heeft de gemeente OpenAI, het bedrijf achter ChatGPT, verzocht de gegevens te verwijderen. Er is geen bevestiging van OpenAI dat dit ook is gebeurd, laat de gemeente aan Nieuwsuur weten. De gemeente zegt geen signalen te hebben dat gemeentelijke bestanden naar privéomgevingen zijn verstuurd.
Shadow AI
Het gebruik van AI-modellen als ChatGPT, Gemini en Claude dringt steeds verder door in ons dagelijks leven, ook op de werkvloer. Regels voor het gebruik zijn er vaak nog niet, waardoor organisaties nauwelijks zicht hebben op de informatie die werknemers in de modellen invoeren. Deskundigen waarschuwen voor de risico’s die dat met zich meebrengt.
Werknemers in allerlei sectoren hebben inmiddels ontdekt hoe generatieve AI – zoals deze modellen worden genoemd – hun werk efficiënter kan maken. Een arts kan het gebruiken om snel een verwijsbrief op te stellen, een advocaat om een dossier samen te vatten, een journalist om een interview uit te werken. Maar deze handelingen zijn niet zonder risico. Persoonsgegevens, bedrijfsgeheimen of vertrouwelijke dossiers kunnen zo ongemerkt in openbare AI-systemen terechtkomen.
AI-gebruik door werknemers dat buiten het zicht van de organisatie plaatsvindt, wordt 'shadow AI' genoemd. "De grootste risico’s zitten in medewerkers die met AI willen werken, maar niet goed weten hoe ze dat veilig moeten doen", zegt Jan van der Put bij de NOS. Hij is ethisch hacker en directeur van een cybersecuritybedrijf dat veel werkt voor de Rijksoverheid.
Volgens hem gaat het vooral mis bij organisaties die nog geen duidelijke afspraken hebben gemaakt over AI-gebruik. "Dan gaan werknemers zelf aan de slag met bijvoorbeeld ChatGPT en voeren ze daar data in met mogelijk persoons- of bedrijfsgegevens, zonder dat ze zich daarvan bewust zijn. Of zonder kennis van de privacy-instellingen van het AI-model."
Amazon
Ook technologiebedrijf Amazon legde het AI-gebruik onder werknemers aan banden, nadat bleek dat bedrijfsinformatie openbaar was geworden. "Als we data in een AI-model zetten, kan die data worden gebruikt om het model te trainen", legt AI-onderzoeker Remco van der Schoot uit. "Dan kan het gebeuren dat die informatie publiek toegankelijk wordt. Dat is bij Amazon gebeurd: interne documentatie werd teruggevonden in ChatGPT."
Kop in het zand
Wat de onderzoeker betreft moeten organisaties serieus werk maken van hun AI-beleid. "Je kunt niet je kop in het zand steken en dit negeren, want dat leidt op de lange termijn alleen maar tot meer problemen."
Volgens ethisch hacker Van der Put is het volledig verbieden van AI-gebruik uiteindelijk niet de oplossing. "Het beste wat je kunt doen, is iets faciliteren, zodat je ook kunt monitoren hoe het wordt gebruikt."
In deze HOE..? leggen we je uit hoe datalekken ontstaan, wat hackers met jouw gegevens kunnen doen en hoe jij kunt voorkomen dat je wordt gehackt.
