Kort samengevat:

Schaduw-AI leidt tot datalekken op de werkvloer, waarschuwt de Europese privacytoezichthouder EDPS. Organisaties moeten nu in actie komen met duidelijke regels, technische handhaving en bewustwording. Praat mee in de KREATE Community.

Schaduw-AI. Het klinkt als iets uit een cyberpunkfilm, maar het gebeurt nu op elke werkvloer. Medewerkers die stiekem ChatGPT, Claude of Gemini gebruiken voor hun werk, zonder dat de IT-afdeling of het management het weet. Dit is Schaduw-AI in de praktijk. Handig voor de productiviteit, maar levensgevaarlijk voor je data.

De European Data Protection Supervisor (EDPS) heeft deze week officieel alarm geslagen. EDPS-voorzitter Wojciech Wiewiorowski noemt de opkomst van AI onmiskenbaar kansrijk voor innovatie en efficientie, maar waarschuwt tegelijk voor aanzienlijke risicos. Denk aan bedrijfsgevoelige informatie die in prompts belandt, klantdata die via AI-tools weglekt, en schendingen van privacywetgeving waar je als organisatie aansprakelijk voor bent.

Van onschuldig naar onveilig

De meeste medewerkers bedoelen er niks kwaads mee. Ze plakken snel een klantrapport in ChatGPT voor een samenvatting, of vragen Claude om een lastige mail te herschrijven. Maar zonder regels en toezicht verdwijnt die data in systemen waar je als bedrijf geen controle over hebt. De EDPS benadrukt dat organisaties Schaduw-AI-datalekken vaak niet eens opmerken, tot het te laat is. Verstoringen in de bedrijfsvoering door AI-gebruik blijven onder de radar totdat er echt iets misgaat.

Vijf stappen naar veilig AI-gebruik

De EDPS komt niet alleen met waarschuwingen, maar ook met een concreet stappenplan. Stel veelomvattende, praktische regels op voor AI-gebruik. Handhaaf die regels met technische middelen, niet alleen met een pdfje op het intranet. Zet bewustwordingscampagnes op zodat medewerkers snappen wat wel en niet kan. Zorg voor duidelijke dataclassificatie: welke data mag een AI-tool in, welke absoluut niet? En monitor continu wat er met data en AI gebeurt in je organisatie.

Belangrijkste advies van Wiewiorowski: maak hier geen IT-feestje van. Verantwoord AI-gebruik overstijgt afdelingen. HR, legal, IT en management moeten samen optrekken. Anders blijft het dweilen met de kraan open, want medewerkers vinden toch wel manieren om AI te gebruiken.

Voor KREATE-lezers die zelf AI-tools bouwen of gebruiken: dit is niet alleen een waarschuwing voor grote corporates. Ook als zzper of kleine ondernemer ben je verantwoordelijk voor de data die je in AI-tools stopt. Een kort AI-beleid van een halve pagina is beter dan helemaal niks. En als AI-bouwer: bedenk hoe jouw tool omgaat met de data die gebruikers erin stoppen. Transparantie daarover wordt steeds meer een verkoopargument.