Gegevens in gevaar door het gebruik van AI-chatbots 

Gegevens in gevaar door het gebruik van AI-chatbots 

Het gebeurt steeds vaker; medewerkers die AI-chatbots gebruiken om snel een e-mail op te stellen of een samenvatting te schrijven. AI-chatbots kunnen een goed hulpmiddel zijn om het werk efficiënter uit te voeren. Maar er kleven grote risico’s aan. De Autoriteit Persoonsgegevens (AP) heeft de afgelopen tijd meerdere meldingen gekregen van datalekken doordat medewerkers medische gegevens of adressen deelden met een chatbot die gebruikmaakt van kunstmatige intelligentie (AI). Hoe dit precies werkt en hoe u een datalek kunt voorkomen vertellen we u in dit artikel.  

Wat is een AI-chatbot? 

Een AI-chatbots is een computerprogramma dat communiceert met mensen door middel van geschreven taal. Het wordt ondersteund door kunstmatige intelligentie, waardoor hulp van een mens niet nodig is. De antwoorden van de chatbot zijn gebaseerd op wat het weet of geleerd heeft door eerder gestelde vragen. 

Hoe een AI-chatbot werkt

Hoe ontstaat een datalek door het gebruik van AI-chatbots 

Stelt u zich eens voor dat u in een druk café zit, iedereen om u heen kan meeluisteren en de informatie die u deelt gebruiken. Dan bent u ook voorzichtig met welke informatie u deelt. Op dezelfde manier moet u omgaan met AI-chatbots. Gegevens die u invoert in een AI-chatbot, zoals ChatGPT, kunnen namelijk ook worden opgeslagen en mogelijk door anderen worden ingezien. En dus mogelijk zorgen voor een datalek. 

Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. De AP ziet dat veel mensen op de werkvloer gebruikmaken van digitale assistenten, zoals ChatGPT. Maar de meeste bedrijven achter de chatbots slaan alle ingevoerde gegevens op. Die gegevens komen daardoor terecht op de servers van deze tech bedrijven. Vaak zonder dat degene die de data invoerde zich dat realiseert en zonder dat die precies weet wat dat bedrijf met de gegevens gaat doen. Medewerkers gebruiken de chatbots vaak op eigen initiatief en tegen de afspraken met de werkgever in: als daarbij persoonsgegevens zijn ingevoerd, dan is er sprake van een datalek. Soms is het gebruik van AI-chatbots onderdeel van het beleid van een organisatie: dan is het geen datalek, maar let er wel op welke gegevens u volgens de wetgeving van delen met chatbots. Organisaties moeten beide situaties voorkomen. 

Wanneer kunt u wel AI-chatbots gebruiken? 

AI kan efficiënte en creatieve oplossingen bieden voor werkzaamheden, dus wilt u het toch blijven gebruiken kies dan voor een variant die ‘klaar is’ met leren en ingevoerde gegevens niet meer gebruikt om slimmer te worden of één die goed beveiligd is. ChatGPT, hoewel het voldoet aan de basisregels zoals de GDPR, kan ingevoerde data gebruiken om zichzelf verder te trainen. Het slaat dus ingevoerde gegevens op, wat een risico vormt voor uw organisatie.

Microsoft365 Copilot biedt een veilige omgeving waarin uw gegevens binnen de organisatie blijven. Wanneer een gebruiker zich aanmeldt bij Copilot, worden gegevens versleuteld. Hierdoor kan niemand anders dan die gebruiker de gegevens inzien. Na de sessie worden alle prompts en antwoorden direct verwijderd. Copilot werkt samen met de Microsoft-tools die u dagelijks gebruikt, zoals Word, Excel en Teams en het maakt slim gebruik van de gegevens binnen uw organisatie. Toch adviseren wij altijd om bedrijfsgevoelige informatie te vervangen door een dummytekst en deze nadat de chatbot zijn werk heeft gedaan weer te vervangen door de oorspronkelijke gegevens. Zo laat u de chatbot wel de juiste output genereren, maar voorkomt u dat u risico loopt op een datalek.

Risico’s verkleinen bij het gebruik van AI-chatbots 

Het gebruik van AI-chatbots is aantrekkelijk en kan de efficiëntie van uw medewerkers ook echt verhogen. Het is niet altijd nodig om het gebruik van AI compleet te verbieden, maar probeer de risico’s wel op verschillende mogelijkheden te verkleinen: 

  1. Maak afspraken 

Het is belangrijk dat u duidelijke afspraken maakt met uw medewerkers over het gebruik van AI-chatbots in hun werkzaamheden. Bepaal of medewerkers AI-chatbots mogen gebruiken of niet. Mag het wel? Geef dan duidelijke richtlijnen voor welke werkzaamheden medewerkers de tools mogen gebruiken en welke gegevens ze wel en niet mogen invullen.  

  1. Creëer bewustwording 

Daarnaast is het belangrijk dat uw medewerkers zich bewust zijn van de risico’s aan het gebruik van AI-chatbots. Verzorg daarom awareness trainingen voor uw personeel rondom het gebruik van AI. Op die manier kunt u medewerkers informeren over hoe AI-tools op een veilige en ethische manier gebruikt kunnen worden. Bent u geïnteresseerd in awareness trainingen? Nestor Security biedt deze aan.  

Wat als het dan toch mis gaat? 

Lekt een medewerker persoonsgegevens door tegen de gemaakte afspraken een AI-chatbot te gebruiken? Dan is een melding aan de AP en de slachtoffers in veel gevallen verplicht. Wilt u advies over het juist gebruiken van AI-chatbots in uw organisatie? Dan staan onze consultants klaar om u te helpen. 


Dit artikel is geschreven door Wendy Sikkema. Heeft u hulp nodig of vragen? Neem dan vrijblijvend contact met haar op.