AI-tools zijn niet meer weg te denken op de werkvloer. Gemeentemedewerkers gebruiken ze dagelijks: om teksten te schrijven, informatie op te zoeken of vergaderingen samen te vatten. Dat maakt het werk sneller en makkelijker. Maar AI-tools brengen ook privacyrisico's met zich mee.
Als een medewerker gegevens in een AI-tool voert zonder dat er met het bedrijf achter de AI-tool afspraken zijn gemaakt over de gegevensverwerking, is er sprake van een datalek. Dat heeft niet alleen grote gevolgen voor de burger, wiens gegevens gelekt zijn, maar ook voor de organisatie. Denk aan identiteitsfraude voor de burger en mogelijke hoge boetes voor de organisatie.
In deze blog legt Atabix uit hoe je AI veilig gebruikt.
Hoe ontstaan datalekken met AI?
Wanneer je gegevens invoert in een AI-tool, stuur je die naar een server van het bedrijf achter de AI-tool die je gebruikt. Bijvoorbeeld de Amerikaanse bedrijven Open AI en Meta of het Chinese bedrijf Deepseek. Omdat deze bedrijven in het buitenland staan, gelden andere wetten dan in Europa. Nederlandse overheden hebben daar geen macht om te bepalen wat het bedrijf met die gegevens mag doen. Het bedrijf kan dan deze gegevens opslaan, delen met andere partijen en gebruiken om hun systeem te verbeteren.
Het kan gebeuren dat iemand gegevens invoert zonder dat zij het doorhebben. Hier zijn twee herkenbare voorbeelden:
Voorbeeld één: Een medewerker vraagt een AI-tool om een brief te herschrijven en plakt daarvoor de originele brief in het invoerveld. In het origineel staan persoonsgegevens, zoals de naam en het adres van de burger.
Voorbeeld twee: Een medewerker gebruikt een AI-tool om verslagen van vergaderingen samen te vatten. Die verslagen bevatten echter vertrouwelijke bedrijfsinformatie, zoals besluitvorming over personeelszaken.
In beide gevallen ontstaan er privacyrisico's, omdat gevoelige informatie de organisatie verlaat zonder dat je controle hebt of weet wat ermee gebeurt. Om deze risico's te voorkomen, is het belangrijk dat je weet met welke gegevens je voorzichtig moet omgaan.
Welke gegevens zijn gevoelig?
Een artikel van Binnenlands Bestuur blijkt dat AI-gebruik op de werkvloer steeds vaker leidt tot datalekken. Het invoeren van gevoelige gegevens is hiervoor de grootste oorzaak. Hieronder zetten we de drie types van gevoelige gegevens, waar je extra voorzichtig mee moet zijn.
H3: Persoonsgegevens
Persoonsgegevens zijn alle gegevens waarmee je een persoon kunt identificeren: namen, adressen, burgerservicenummers (BSN), e-mailadressen en telefoonnummers.
H3: Bijzondere persoonsgegevens
Naast gewone persoonsgegevens zijn er gegevens die extra gevoelig zijn: bijzondere persoonsgegevens. Deze gegevens vallen onder strengere wetgeving, omdat misbruik ervan mensen ernstig kan schaden, zoals discriminatie en ernstige reputatieschade. Denk aan informatie over iemands gezondheid, psychische gesteldheid, financiële problemen, etnische afkomst of religie.
H3: Vertrouwelijke bedrijfsinformatie
Het is belangrijk om ook voorzichtig om te gaan met vertrouwelijke bedrijfsgegevens. Denk aan interne documenten, financiële gegevens en personeelsinformatie.
Hoe gebruik je AI veilig?
Gebruik alleen AI-tools die goedgekeurd zijn door jouw organisatie
Een goedgekeurde AI-tool is een tool die jouw organisatie gebruikt binnen een beveiligde omgeving, waarbij afspraken zijn gemaakt met de leverancier over gegevensverwerking. Met deze tools weet je dus dat je ingevoerde gegevens niet gedeeld worden met derde partijen. Het voorkomt ook datalekken via schaduw-AI. Dat is het gebruik van niet-goedgekeurde AI-tools door medewerkers, zonder dat de organisatie het weet. Schaduw-AI is een van de grootste oorzaken van datalekken binnen organisaties.
Werk met fictieve of geanonimiseerde gegevens
Voer nooit persoonsgegevens of vertrouwelijke bedrijfsinformatie in een niet goedgekeurde AI-tool. Gebruik in plaats daarvan een fictief voorbeeld of een algemene situatiebeschrijving. Moet je toch met echte gegevens werken, verwijder dan eerst alle herleidbare informatie. Vervang "Jan de Vries" door "meneer X" en haal adressen, BSN's en andere identificerende details eruit.
Let op: alleen de naam vervangen is niet genoeg. Zelfs zonder naam kan een combinatie van andere gegevens, zoals een adres, postcode of telefoonnummer, alsnog naar een specifiek persoon herleid worden. Anonimiseer daarom alle identificerende details.
Neem contact op met je informatiemanager of privacy officer
Heb je per ongeluk toch gevoelige gegevens in een AI-tool ingevoerd? Meld dit direct bij je privacy officer of leidinggevende. Hoe sneller je meldt, hoe sneller de schade beperkt kan worden.
Ook als je twijfelt over het gebruik van een AI-tool, is het verstandig om contact op te nemen met de informatiemanager of privacy officer binnen jouw organisatie. Zij kunnen je vertellen welke tools zijn goedgekeurd en onder welke voorwaarden je ze kunt gebruiken.
Veilig aan de slag met AI
AI veilig gebruiken vraagt geen juridische kennis; het vraagt alleen om de juiste kennis en extra voorzichtigheid met gevoelige gegevens. Met bovenstaande tips gebruik je AI zonder onnodige risico's.
Wil je meer weten over de wetgeving rondom AI? Lees dan onze blogs over de AI Act. Of bekijk de blog over de visie van de Autoriteit Persoonsgegevens op AI.